Uma vulnerabilidade de escalada de privilégios no Linux, recentemente corrigida, agora conta com um exploit de prova de conceito (PoC) disponível publicamente, capaz de permitir que atacantes locais obtenham privilégios de root em sistemas Arch Linux.
Batizada de PinTheft pela equipe de segurança V12 e ainda sem um identificador CVE para facilitar o acompanhamento, a falha está no subsistema RDS (Reliable Datagram Sockets) do kernel Linux e foi corrigida no início deste mês.
“PinTheft é um exploit de escalada de privilégios local no Linux para um double-free no zerocopy do RDS, que pode ser convertido em uma sobrescrita do cache de páginas por meio de buffers fixos do io_uring”, afirmou a V12 em um alerta publicado na terça-feira.
“O bug estava na rota de envio zerocopy do RDS.
A função rds_message_zcopy_from_user() fixa páginas do usuário uma por vez.
Se uma página posterior falhar, o caminho de erro libera as páginas já fixadas e, mais tarde, a limpeza da mensagem RDS as libera novamente, porque as entradas da lista de dispersão e a contagem de entradas permanecem ativas depois que o notificador do zcopy é limpo.
Cada envio zerocopy com falha pode roubar uma referência da primeira página.”
A V12 também divulgou um PoC que rouba referências FOLL_PIN até que o io_uring passe a manter um ponteiro para uma página roubada, o que permite obter um shell com privilégios de root.
No entanto, além de exigir que o módulo RDS esteja carregado no sistema alvo, o PinTheft também depende de condições específicas para ser explorado com sucesso, incluindo a API de E/S do Linux io_uring estar ativada, um binário SUID-root legível e suporte a x86_64 para o payload incluído.
Isso reduz de forma significativa a superfície de ataque, e a V12 afirma que o módulo RDS vem habilitado por padrão apenas no Arch Linux entre as distribuições Linux mais comuns.
“Infelizmente, o módulo do kernel RDS exigido por isso só vem ativado por padrão no Arch Linux entre as distribuições comuns que testamos”, acrescentou a V12.
Usuários de Linux em distribuições afetadas devem instalar as atualizações mais recentes do kernel o quanto antes.
Quem não puder aplicar o patch imediatamente também pode usar a seguinte medida de mitigação para bloquear tentativas de exploração.
O caso surge após uma onda de outras vulnerabilidades de escalada de privilégios local no Linux, divulgadas ao longo das últimas semanas, algumas delas zero-day e sem patches de segurança disponíveis.
No fim de semana, pesquisadores de segurança divulgaram exploits PoC voltados para outra falha de escalada de privilégios local no Linux, recentemente corrigida e acompanhada como DirtyDecrypt e DirtyCBC.
Ela pertence à mesma classe de vulnerabilidades de outros problemas de elevação de privilégios, como Dirty Frag, Fragnesia e Copy Fail.
Essas divulgações também ocorrem após relatos de que threat actors passaram a explorar ativamente a vulnerabilidade Copy Fail em ataques.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou o Copy Fail à sua lista de falhas exploradas em ataques em 1º de maio e determinou que órgãos do governo protejam seus sistemas Linux em até duas semanas.
No mês passado, distribuições Linux também liberaram patches de segurança para uma vulnerabilidade de escalada de privilégios de root, batizada de Pack2TheRoot e encontrada no daemon PackageKit, que passou despercebida por mais de uma década.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...