Rust, który niedawno został dodany do systemu Windows 11, służył do hakowania zarówno serwerów Windows, jak i Linux

Czytelnicy Neowin i ogólnie społeczność byli bardzo podekscytowani, gdy Microsoft po raz pierwszy ujawnił, że dodaje Rusta do jądra systemu Windows 11. To było w kwietniu na konferencji BlueHat IL 2023, a około miesiąc później, 11 maja (lub 10, w zależności od miejsca zamieszkania), firma ogłosiła, że ​​Rust jest teraz dostępny w jądrze kompilacji Windows 11 Insider .

David Weston z Microsoftu, wiceprezes ds. bezpieczeństwa korporacyjnego i systemu operacyjnego, wyjaśnił, że powodem dodania Rusta była poprawa bezpieczeństwa systemu pamięci Windows 11, ponieważ Rust jest uważany za bezpieczny dla pamięci i typów.

Co ciekawe, badacze bezpieczeństwa z Palo Alto Networks odkryli nowego robaka typu peer-to-peer (P2P), nazwanego P2PInfect, który jest zbudowany na Rust. Szkodnik atakuje zarówno serwery Redis (Remote Dictionary Server), jak i oparte na systemie Linux. Robak wykorzystuje lukę Lua Sandbox Escape, która jest śledzona pod CVE-2022-0543 od 2022 roku. Może to prowadzić do zdalnego wykonania kodu (RCE).

W swoim poście na blogu Palo Alto Networks wyjaśnia:

Napisany w Rust, wysoce skalowalnym i przyjaznym dla chmury języku programowania, ten robak jest zdolny do infekcji międzyplatformowych i atakuje Redis, popularną aplikację bazodanową typu open source, która jest intensywnie używana w środowiskach chmurowych.

[…]

Robak P2PInfect infekuje podatne na ataki instancje Redis, wykorzystując lukę umożliwiającą wyjście z piaskownicy Lua, CVE-2022-0543. Chociaż luka została ujawniona w 2022 roku, jej zakres nie jest w tym momencie w pełni znany. Jednak jest oceniany w krajowej bazie danych NIST Vulnerability Database z wynikiem Critical CVSS 10,0. Ponadto fakt, że P2PInfect wykorzystuje serwery Redis działające zarówno w systemach operacyjnych Linux, jak i Windows, czyni go bardziej skalowalnym i potężniejszym niż inne robaki.

Robak P2P to rodzaj robaka, który wykorzystuje mechanikę sieci P2P do dystrybucji swojej kopii do niczego niepodejrzewających użytkowników P2P. Dlatego zasadniczo po zrzuceniu początkowego szkodliwego ładunku P2PInfect ustanawia komunikację P2P z większą siecią i pobiera dodatkowe złośliwe pliki binarne. Dlatego łańcuch nadal infekuje inne serwery Redis.

Więcej szczegółów technicznych na temat kampanii złośliwego oprogramowania P2PInfect można znaleźć na stronie Palo Alto .