πριν ΛΙΓΕΣ μερες Jann Horn από την ομάδα του Google Project Zero, που εντόπισε προηγουμένως τα τρωτά σημεία Spectre και Meltdown, κυκλοφόρησε μια τεχνική για την εκμετάλλευση μιας ευπάθειας που βρήκε στον συλλέκτη σκουπιδιών πυρήνα Linux (CVE-2021-4083).
Τρωτό προκαλείται από κατάσταση φυλής όταν καθαρίζονται οι περιγραφές αρχείων υποδοχών unix και δυνητικά επιτρέπει σε έναν μη προνομιούχο τοπικό χρήστη να εκτελεί τον κώδικά σας σε επίπεδο πυρήνα.
το πρόβλημα είναι ενδιαφέρον γιατί το χρονικό παράθυρο κατά την οποία εμφανίζεται η συνθήκη του αγώνα αξιολογήθηκε ως πολύ μικρό για τη δημιουργία πραγματικών τρωτών σημείων, αλλά ο συγγραφέας της μελέτης έδειξε ότι ακόμη και τα αρχικά σκεπτικιστικά τρωτά σημεία μπορούν να γίνουν πηγή πραγματικών επιθέσεων εάν ο δημιουργός ευπάθειας έχει τις απαραίτητες δεξιότητες και χρόνο.
Γιαν Χορν έδειξε πώς, με τη βοήθεια χειρισμών φιλιγκράν, είναι δυνατό να μειωθεί η κατάσταση μιας κούρσας που εμφανίζεται όταν οι συναρτήσεις close() και fget() καλούνται ταυτόχρονα σε μια πλήρως αξιοποιημένη ευπάθεια χρήσης μετά την ελεύθερη πρόσβαση και αποκτώντας πρόσβαση σε μια ήδη ελευθερωμένη δομή δεδομένων εντός του πυρήνα.
Εμφανίζεται μια κατάσταση αγώνα κατά τη διαδικασία κλεισίματος ενός περιγραφέα αρχείου ενώ καλείτε τις συναρτήσεις close() και fget() ταυτόχρονα. Η κλήση για κλείσιμο() μπορεί να εκτελεστεί πριν από την εκτέλεση της fget(), κάτι που θα προκαλέσει σύγχυση στον συλλέκτη αχρησιμοποίητο επειδή, σύμφωνα με την επανακαταμέτρηση, η δομή του αρχείου δεν θα έχει εξωτερικές αναφορές, αλλά θα παραμείνει προσαρτημένη στον περιγραφέα του αρχείου, δηλαδή ο συλλέκτης σκουπιδιών θα υποθέσει ότι έχει αποκλειστική πρόσβαση στη δομή, αλλά στην πραγματικότητα, για σύντομο χρονικό διάστημα, η υπόλοιπη καταχώρηση στον πίνακα περιγραφής αρχείου θα εξακολουθεί να δείχνει ότι η δομή ελευθερώνεται.
Για να αυξήσετε την πιθανότητα για την είσοδο σε μια συνθήκη αγώνα, χρησιμοποιήθηκαν διάφορα κόλπα που επέτρεψαν την αύξηση της πιθανότητας επιτυχίας από αγρόκτημα έως 30% κατά την εκτέλεση βελτιστοποιήσεων για συγκεκριμένο σύστημα. Για παράδειγμα, για να αυξηθεί ο χρόνος πρόσβασης σε μια δομή με περιγραφείς αρχείων κατά αρκετές εκατοντάδες νανοδευτερόλεπτα, τα δεδομένα αφαιρέθηκαν από την κρυφή μνήμη του επεξεργαστή μολύνοντας τη μνήμη cache με δραστηριότητα σε έναν άλλο πυρήνα CPU, καθιστώντας δυνατή την επιστροφή της δομής από τη μνήμη και όχι από τη γρήγορη κρυφή μνήμη CPU.
Το δεύτερο σημαντικό χαρακτηριστικό ήταν χρησιμοποιώντας διακοπές που δημιουργούνται από ένα χρονόμετρο υλικού για να αυξηθεί ο χρόνος του αγώνα. Επιλέχθηκε ο χρόνος για να πυροδοτήσει ο χειριστής διακοπής κατά την εμφάνιση της συνθήκης αγώνα και να διακόψει την εκτέλεση του κώδικα για λίγο. Για να καθυστερήσει περαιτέρω η επιστροφή του ελέγχου, το epoll δημιούργησε περίπου 50 καταχωρήσεις ουράς, οι οποίες απαιτούσαν επανάληψη στον χειριστή διακοπής.
Η τεχνική εκμετάλλευση ευπάθειας αποκαλύφθηκε μετά από περίοδο μη αποκάλυψης 90 ημερών. Το πρόβλημα
και διορθώθηκε στις αρχές Δεκεμβρίου. Η ενημέρωση κώδικα συμπεριλήφθηκε στον πυρήνα 5.16 και μεταφέρθηκε επίσης στους κλάδους του πυρήνα LTS και στα πακέτα πυρήνα που παρέχονται στις διανομές. Θα πρέπει να σημειωθεί ότι η ευπάθεια εντοπίστηκε κατά την ανάλυση ενός παρόμοιου ζητήματος CVE-2021-0920, το οποίο εκδηλώνεται στον συλλέκτη απορριμμάτων κατά την επεξεργασία της σημαίας MSG_PEEK.
Μια άλλη ευπάθεια που βρέθηκε πρόσφατα στον πυρήνα του Linux, ήταν το CVE-2022-0742 ότι μπορεί να εξαντλήσει τη διαθέσιμη μνήμη και να προκαλέσει εξ αποστάσεως άρνηση εξυπηρέτησης στέλνοντας ειδικά κατασκευασμένα πακέτα icmp6. Το πρόβλημα σχετίζεται με μια διαρροή μνήμης που παρουσιάζεται κατά την επεξεργασία μηνυμάτων ICMPv6 με τύπους 130 ή 131.
Το ζήτημα υπάρχει από τον πυρήνα 5.13 και έχει επιδιορθωθεί στις εκδόσεις 5.16.13 και 5.15.27. Το ζήτημα δεν επηρέασε τους κλάδους Debian, SUSE, Ubuntu LTS (18.04, 20.04) και RHEL stable, επιδιορθώθηκε στο Arch Linux.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό της σημείωσης, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.