Um novo ataque chamado SLUBStick tem demonstrado uma taxa de sucesso de 99% na conversão de uma vulnerabilidade limitada de heap em uma capacidade arbitrária de leitura e gravação de memória no kernel do Linux. Este ataque, desenvolvido por pesquisadores da Graz University of Technology, permite a elevação de privilégios ou a fuga de contêineres.
Os pesquisadores testaram o SLUBStick nas versões 5.9 e 6.2 do kernel do Linux, utilizando nove CVEs existentes em sistemas de 32 e 64 bits. O ataque provou ser eficaz mesmo com todas as defesas modernas do kernel ativas, incluindo Supervisor Mode Execution Prevention (SMEP), Supervisor Mode Access Prevention (SMAP) e Kernel Address Space Layout Randomization (KASLR).
O SLUBStick será apresentado em detalhes na conferência Usenix Security Symposium, onde os pesquisadores mostrarão como o ataque pode escalar privilégios e escapar de contêineres no Linux com defesas de última geração ativadas. O artigo técnico publicado já contém todos os detalhes sobre o ataque e os possíveis cenários de exploração.
O kernel do Linux gerencia a memória alocando e desalocando blocos chamados "slabs" para diferentes tipos de estruturas de dados. Vulnerabilidades nesse processo de gerenciamento de memória podem ser exploradas para corromper ou manipular essas estruturas, conhecidas como ataques de cache cruzado, que tradicionalmente têm uma taxa de sucesso de cerca de 40%.
O SLUBStick utiliza vulnerabilidades de heap, como double-free, use-after-free ou gravação fora dos limites, para manipular o processo de alocação de memória.
CVEs usados com sucesso nos experimentos dos pesquisadores
Fonte: stefangast.eu
Em seguida, usa um canal lateral de tempo para determinar o momento exato da alocação/desalocação de memória, permitindo prever e controlar a reutilização da memória. Esse método aumenta a taxa de sucesso da exploração para 99%.
Taxas de sucesso mensuradas
Fonte: stefangast.eu
A conversão da falha de heap em uma primitiva de leitura e gravação de memória arbitrária é feita em três etapas:
Liberar blocos de memória específicos e esperar que o kernel os reutilize.
Realocar esses blocos de forma controlada, direcionando-os para estruturas de dados essenciais, como tabelas de páginas.
Uma vez recuperados, sobrescrever as entradas da tabela de páginas, obtendo a capacidade de ler e gravar em qualquer local da memória.
Visão geral do SLUBStick
Fonte: stefangast.eu
Embora o SLUBStick exija acesso local à máquina de destino e a presença de uma vulnerabilidade de heap no kernel do Linux, ele oferece vários benefícios significativos para os atacantes:
Escalonamento de Privilégios: Permite elevar privilégios a root, possibilitando operações ilimitadas.
Fuga de Contêineres: Permite sair de ambientes sandbox e acessar o sistema host.
Persistência: Pode modificar estruturas ou ganchos do kernel para manter o malware indetectável.
Tampering with '/etc/passwd' data
Fonte: stefangast.eu
O SLUBStick é uma exploração poderosa que destaca a necessidade de atenção contínua às vulnerabilidades de segurança no kernel do Linux. Para aqueles interessados em se aprofundar no SLUBStick, os detalhes e explorações usadas pelos pesquisadores da Universidade de Graz estão disponíveis no repositório GitHub do pesquisador.
Via - BC
Comments