Uma nova técnica de ataque cross-cache ao Kernel Linux chamada SLUBStick obteve 99% de sucesso em converter uma vulnerabilidade limitada de heap em capacidade arbitrária de leitura e escrita na memória, permitindo que os pesquisadores elevassem privilégios ou escapes de containers.
A descoberta vem de uma equipe de pesquisadores da Universidade Tecnológica de Graz que demonstrou o ataque nas versões do kernel Linux 5.9 e 6.2 (mais recentes), usando nove CVEs existentes em sistemas de 32-bit e 64-bit, indicando grande versatilidade.
Além disso, o ataque funcionou com todas as modernas defesas do kernel como Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) e Kernel Address Space Layout Randomization (KASLR) ativas.
SLUBStick será apresentado em detalhes na próxima conferência do Usenix Security Symposium ainda este mês.
Os pesquisadores irão demonstrar a escalada de privilégios e escape de container na última versão do Linux com as mais sofisticadas defesas habilitadas.
Enquanto isso, o artigo técnico publicado contém todos os detalhes sobre o ataque e os cenários de exploração potenciais.
Uma maneira de o kernel Linux gerenciar a memória de forma eficiente e segura é alocando e desalocando porções de memória, chamadas "slabs", para diferentes tipos de estruturas de dados.
Falhas nesse processo de gerenciamento de memória podem permitir que atacantes corrompam ou manipulem essas estruturas de dados, conhecidas como ataques cross-cache.
Entretanto, esses são eficazes em cerca de 40% das vezes e tipicamente levam a falhas do sistema mais cedo ou mais tarde.
SLUBStick explora uma vulnerabilidade de heap, como double-free, use-after-free, ou escrita fora dos limites, para manipular o processo de alocação de memória.
Em seguida, utiliza um canal lateral de temporização para determinar o exato momento da alocação/desalocação dos blocos de memória, permitindo que o atacante preveja e controle a reutilização da memória.
Usando essa informação de temporização, a eficácia da exploração cross-change sobe para 99%, tornando SLUBStick muito prático.
A conversão da falha de heap em primitiva arbitrária de leitura e escrita de memória é feita em três etapas:
1.Liberar blocos específicos de memória e esperar que o kernel os reutilize.
2.Realocar esses blocos de maneira controlada, garantindo que sejam reaproveitados para estruturas de dados críticas como tabelas de páginas.
3.Uma vez recuperados, o atacante sobrescreve as entradas da tabela de páginas, obtendo a capacidade de ler e escrever em qualquer localização da memória.
Como na maioria dos ataques que envolvem um canal lateral, SLUBStick requer acesso local na máquina alvo com capacidade de execução de código.
Além disso, o ataque requer a presença de uma vulnerabilidade de heap no kernel do Linux, que será então usada para ganhar acesso de leitura e escrita à memória.
Embora isso possa fazer o ataque parecer impraticável, ele introduz alguns benefícios para os atacantes.
Mesmo para atacantes com capacidades de execução de código, SLUBStick oferece a habilidade de conseguir escalada de privilégios, burlar defesas do kernel, realizar escapes de containers ou usá-lo como parte de uma cadeia de ataque complexa.
A escalada de privilégios pode ser usada para elevar privilégios para root, permitindo operações ilimitadas, enquanto o escape de container pode ser usado para sair de ambientes enjaulados e acessar o sistema hospedeiro.
Adicionalmente, na fase de pós-exploração, SLUBStick poderia modificar estruturas ou ganchos do kernel para manter persistência, tornando o malware mais difícil de ser detectado pelos defensores.
Aqueles que desejam mergulhar mais fundo em SLUBStick e experimentar com os exploits utilizados pelos pesquisadores da Universidade de Graz podem encontrá-los no repositório GitHub dos pesquisadores.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...