Acum cateva zile Jann Horn din echipa Google Project Zero, care a identificat anterior vulnerabilitățile Spectre și Meltdown, a dezvăluit o tehnică de exploatare a unei vulnerabilități găsit în colectorul de gunoi din nucleul Linux (CVE-2021-4083).
Vulnerabilitate este cauzată de o condiție de cursă când sunt curățați descriptorii fișierelor socket Unix și poate permite unui utilizator local neprivilegiat să execute codul dvs. la nivel de kernel.
Problema este interesant pentru că fereastra de timp în timpul căreia apare condiţia de cursă a fost evaluat ca fiind prea mic pentru a crea vulnerabilități reale, dar autorul studiului a arătat că și vulnerabilitățile inițial sceptice pot deveni o sursă de atacuri reale dacă creatorul vulnerabilității are abilitățile și timpul necesar.
Yann Horn a arătat cum, cu ajutorul manipulărilor filigranate, este posibilă reducerea stării Un eveniment de cursă care are loc la apelarea funcțiilor close() și fget() în același timp la o vulnerabilitate complet exploatată de utilizare după eliberare și obținerea accesului la o structură de date deja eliberată din nucleu.
Apare o condiție de cursă în timpul procesului de închidere a unui descriptor de fișier în timp ce se apelează funcțiile close() și fget() în același timp. Apelul la close() poate fi executat înainte ca fget() să fie executat, ceea ce va încurca colectorul de articole neutilizat deoarece, conform refcount, structura fișierului nu va avea referințe externe, dar va rămâne atașată la descriptorul fișierului, adică colectorul de gunoi va presupune că are acces exclusiv la structură, dar de fapt pentru o perioadă scurtă de timp, intrarea rămasă în tabelul descriptor al fișierului va continua să indice că structura este eliberată.
Pentru a crește probabilitatea intrarea într-o condiție de cursă, au fost folosite mai multe trucuri care au permis creșterea probabilității de succes din exploatație la 30% atunci când se efectuează optimizări specifice sistemului. De exemplu, pentru a crește timpul de acces la o structură cu descriptori de fișiere cu câteva sute de nanosecunde, datele au fost eliminate din memoria cache a procesorului prin poluarea memoriei cache cu activitate pe un alt nucleu al procesorului, ceea ce a făcut posibilă returnarea structurii din memorie și nu memoria cache rapidă a procesorului.
A doua caracteristică importantă FUE utilizarea întreruperilor generate de un temporizator hardware pentru a mări timpul de cursă. Timpul a fost ales astfel încât responsabilul de întrerupere să se declanșeze în timpul apariției condiției de cursă și să întrerupă execuția codului pentru o perioadă. Pentru a întârzia și mai mult revenirea controlului, epoll a generat în jur de 50 de mii de intrări în coadă, ceea ce a necesitat o iterație în gestionarea întreruperilor.
Tehnica exploatarea vulnerabilității a fost dezvăluit după o perioadă de nedezvăluire de 90 de zile. Problema
și a fost reparat la începutul lunii decembrie. Remedierea a fost inclusă în nucleul 5.16 și, de asemenea, mutată în ramurile LTS ale nucleului și în pachetele cu nucleul furnizat în distribuții. Trebuie remarcat faptul că vulnerabilitatea a fost identificată în timpul analizei unei probleme similare CVE-2021-0920, care se manifestă în colectorul de gunoi la procesarea steagului MSG_PEEK.
O altă vulnerabilitate care a fost găsită recent, în nucleul Linux, a fost CVE-2022-0742 că poate epuiza memoria disponibilă și poate provoca de la distanță o refuz de serviciu prin trimiterea de pachete icmp6 special concepute. Problema este legată de o scurgere de memorie care apare la procesarea mesajelor ICMPv6 cu tipurile 130 sau 131.
Problema este prezentă începând cu kernel-ul 5.13 și a fost remediată în versiunile 5.16.13 și 5.15.27. Problema nu a afectat ramurile stabile Debian, SUSE, Ubuntu LTS (18.04, 20.04) și RHEL, a fost rezolvată pe Arch Linux.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta din notă, puteți verifica detaliile în următorul link.