Rust, dat onlangs in Windows 11 is ingepakt, hackte vroeger zowel Windows- als Linux-servers

Neowin-lezers en de gemeenschap in het algemeen raakten behoorlijk opgewonden toen Microsoft voor het eerst onthulde dat het Rust aan de Windows 11-kernel zou toevoegen. Dat was in april op de BlueHat IL 2023-conferentie, en ongeveer een maand later, op 11 mei (of 10 mei, afhankelijk van waar je woont), kondigde het bedrijf aan dat Rust nu live was in de kernel van Windows 11 Insider- builds .

Microsoft’s David Weston, Vice President, Enterprise and OS Security, legde uit dat een reden voor het toevoegen van Rust was om de beveiliging van het Windows 11-geheugensysteem te verbeteren, aangezien Rust wordt beschouwd als geheugenveilig en typeveilig.

Interessant is dat beveiligingsonderzoekers van Palo Alto Networks een nieuwe peer-to-peer (P2P) worm hebben ontdekt, genaamd P2PInfect, die is gebouwd op Rust, en de malware treft zowel Windows als Linux-gebaseerde Redis (Remote Dictionary Server) servers. De worm maakt misbruik van de Lua Sandbox Escape-kwetsbaarheid die sinds 2022 wordt gevolgd onder CVE-2022-0543.Dit kan leiden tot uitvoering van externe code (RCE).

In zijn blogpost legt Palo Alto Networks uit:

Geschreven in Rust, een zeer schaalbare en cloudvriendelijke programmeertaal, is deze worm in staat tot platformonafhankelijke infecties en richt hij zich op Redis, een populaire open-source databasetoepassing die veel wordt gebruikt in cloudomgevingen.

[…]

De P2PInfect-worm infecteert kwetsbare Redis-instanties door misbruik te maken van de Lua-sandbox-escape-kwetsbaarheid, CVE-2022-0543. Hoewel de kwetsbaarheid in 2022 werd onthuld, is de omvang ervan op dit moment nog niet volledig bekend. Het wordt echter beoordeeld in de NIST National Vulnerability Database met een kritische CVSS-score van 10,0. Bovendien maakt het feit dat P2PInfect gebruik maakt van Redis-servers die op zowel Linux- als Windows-besturingssystemen draaien, het schaalbaarder en krachtiger dan andere wormen.

Een P2P-worm is een soort worm die profiteert van de mechanismen van een P2P-netwerk om een ​​kopie van zichzelf te verspreiden onder nietsvermoedende P2P-gebruikers. Daarom brengt P2PInfect, na het laten vallen van een eerste kwaadaardige payload, in wezen P2P-communicatie tot stand met een groter netwerk en downloadt het extra kwaadaardige binaire bestanden. Vandaar dat de keten andere Redis-servers blijft infecteren.

Meer technische details over de P2PInfect-malwarecampagne vindt u op de website van Palo Alto .