Vor kurzem Wir teilen hier auf dem Blog die Neuigkeiten über das Interesse, das Microsoft gezeigt hat über das Subsystem eGMP, Da es ein Subsystem für Windows erstellt hat, das die statische Analysemethode für die abstrakte Interpretation verwendet, die im Vergleich zum eBPF-Prüfer für Linux eine niedrigere Falsch-Positiv-Rate aufweist, die Schleifenanalyse unterstützt und eine gute Skalierbarkeit bietet.
Die Methode berücksichtigt viele typische Leistungsmuster, die sich aus der Analyse vorhandener eBPF-Programme ergeben. Dieses eBPF-Subsystem ist seit Version 3.18 und im Linux-Kernel enthalten Sie können eingehende / ausgehende Netzwerkpakete verarbeiten, Pakete weiterleiten, die Bandbreite steuern, Systemaufrufe abfangen, den Zugriff steuern und überwachen.
Und spricht das darüber?wurde kürzlich bekannt gegeben, dass Es wurden zwei neue Sicherheitslücken identifiziert im Subsystem eBPF, mit dem Sie Treiber im Linux-Kernel in einer speziellen virtuellen JIT-Maschine ausführen können.
Beide Sicherheitsanfälligkeiten bieten die Möglichkeit, Code mit Kernelrechten auszuführen. außerhalb der isolierten virtuellen eBPF-Maschine.
Information über die Probleme wurde vom Zero Day Initiative Team veröffentlicht, Hier wird der Pwn2Own-Wettbewerb durchgeführt, bei dem in diesem Jahr drei Angriffe auf Ubuntu Linux demonstriert wurden, bei denen bisher unbekannte Sicherheitslücken verwendet wurden (wenn die Sicherheitslücken im eBPF mit diesen Angriffen zusammenhängen, werden sie nicht gemeldet).
Es wurde festgestellt, dass das eBPF ALU32 die Nachverfolgung für bitweise Operationen (AND, OR und XOR) 32-Bit-Limits wurden nicht aktualisiert.
Manfred Paul (@_manfp) vom RedRocket CTF-Team (@redrocket_ctf) arbeitet mit ihm zusammenDie Zero Day-Initiative von Trend Micro hat diese Sicherheitsanfälligkeit entdeckt Es könnte in außerhalb der Grenzen liegende Lese- und Schreibvorgänge im Kernel konvertiert werden. Das war als ZDI-CAN-13590 gemeldet und CVE-2021-3490 zugewiesen.
- CVE-2021-3490: Die Sicherheitsanfälligkeit ist auf das Fehlen einer Überprüfung außerhalb der Grenzen für 32-Bit-Werte zurückzuführen, wenn bitweise AND-, OR- und XOR-Operationen auf eBPF ALU32 ausgeführt werden. Ein Angreifer kann diesen Fehler nutzen, um Daten außerhalb der Grenzen des zugewiesenen Puffers zu lesen und zu schreiben. Das Problem mit XOR-Operationen besteht seit Kernel 5.7-rc1 und AND und OR seit 5.10-rc1.
- CVE-2021-3489: Die Sicherheitsanfälligkeit wird durch einen Fehler in der Ringpuffer-Implementierung verursacht und hängt damit zusammen, dass die Funktion bpf_ringbuf_reserve nicht geprüft hat, ob die Größe des zugewiesenen Speicherbereichs kleiner als die tatsächliche Größe des Ringbuf-Puffers ist. Das Problem ist seit der Veröffentlichung von 5.8-rc1 offensichtlich.
Zusätzlich Wir können auch eine andere Sicherheitslücke im Linux-Kernel beobachten: CVE-2021-32606, welche Ermöglicht einem lokalen Benutzer, seine Berechtigungen auf die Stammebene zu erhöhen. Das Problem tritt seit dem Linux-Kernel 5.11 auf und wird durch eine Race-Bedingung bei der Implementierung des CAN ISOTP-Protokolls verursacht, die es ermöglicht, die Socket-Bindungsparameter zu ändern, da die richtigen Sperren in i nicht konfiguriert sindsotp_setsockopt () wenn das Flag verarbeitet wird CAN_ISOTP_SF_BROADCAST.
Sobald die Steckdose, ISOTP bindet weiterhin an den Empfänger-Socket, der die dem Socket zugeordneten Strukturen weiterhin verwenden kann, nachdem der zugeordnete Speicher freigegeben wurde (Use-after-Free aufgrund des Strukturaufrufs) isotp_sock bereits freigegeben, wenn ich anrufesotp_rcv(). Durch Bearbeiten von Daten können Sie den Zeiger auf die Funktion überschreiben sk_error_report () und führen Sie Ihren Code auf Kernel-Ebene aus.
Der Status von Fixes für Schwachstellen in Distributionen kann auf folgenden Seiten nachverfolgt werden: Ubuntu, Debian, RHEL, Fedora, SUSE, Bogen).
Die Fixes sind auch als Patches verfügbar (CVE-2021-3489 und CVE-2021-3490). Die Ausnutzung des Problems hängt von der Verfügbarkeit des Aufrufs des eBPF-Systems für den Benutzer ab. In den Standardeinstellungen von RHEL erfordert der Benutzer zum Ausnutzen der Sicherheitsanfälligkeit beispielsweise die Berechtigung CAP_SYS_ADMIN.
Schließlich wenn Sie mehr darüber wissen wollen, Sie können die Details überprüfen im folgenden Link.