StackRot Linux Kernel Bug har udnyttelseskode på vej

Udnyttelseskode vil snart blive tilgængelig for en kritisk sårbarhed i Linux-kernen, som en sikkerhedsforsker opdagede og rapporterede til Linux-administratorer i midten af ​​juni.

Fejlen, som forskeren kaldte StackRot (CVE-2023-3269), påvirker Linux-kernen 6.1 til 6.4 og giver angribere en måde at eskalere privilegier på berørte systemer.

Påvirker alle Linux-konfigurationer

Sikkerhedsforsker Ruihan Li fra Peking University i Kina opdagede sårbarheden og beskrev den i denne uge som at påvirke næsten alle Linux-kernekonfigurationer og kræve minimale muligheder for at udløse.

Et responsteam, ledet af Linux-skaberen Linus Torvalds, arbejdede omkring to uger på at udvikle et sæt patches til at løse sårbarheden. 

"Den 28. juni, under flettevinduet for Linux-kerne 6.5, blev rettelsen flettet ind i Linus' træ," sagde Li i en GitHub indlæg annoncerer sin opdagelse. "Linus leverede en omfattende flettemeddelelse for at belyse patch-serien fra et teknisk perspektiv,” bemærkede Li.

Patcherne er siden blevet backporteret til kernerne 6.1.37, 6.2.11 og 6.4.1, "hvilket effektivt løste 'StackRot'-fejlen den 1. juli," skrev Li. "Den komplette udnyttelseskode og en omfattende opskrivning vil blive gjort offentligt tilgængelig senest i slutningen af ​​juli."

StackRot vedrører Linux-kernens håndtering af stakudvidelse, en mekanisme til automatisk at vokse eller udvide stackhukommelsen i en kørende proces.

Datastrukturen til styring af virtuelle hukommelsespladser i Linux-kernen håndterer en bestemt hukommelsesstyringsfunktion på en måde, der resulterer i use-after-free-by-RCU (UAFBR) problemer, sagde Li. UAFBR-fejl kombinerer brug-efter-fri sårbarhed med det, der er kendt som Read-Copy-Update (RCU) mekanismen i Linux-kernen for synkronisering af brugen af ​​delte data.

Brug efter-fri er en type sårbarhed, hvor et softwareprogram fortsætter med at bruge en hukommelsesreference, efter at den er blevet deallokeret eller frigivet. Dette giver angribere en måde at indsætte vilkårlig kode i den frigjorte, men stadig brugte hukommelsesplads. "En uprivilegeret lokal bruger kunne bruge denne fejl til at kompromittere kernen og eskalere deres privilegier," sagde Li. Linux-kernen bruger RCU-mekanismen til at frigøre eller deallokere brugt hukommelsesplads.

Selvom UAFBR-sårbarheder kan være farlige, er de ikke nemme at udnytte på grund af en vis forsinkelse, der sker med hukommelsesdeallokering, når hukommelsespladser frigøres ved hjælp af RCU-tilbagekald, forklarede Li.

Første af sin slags udnyttelse

Forskeren beskrev udnyttelsen af ​​StackRot som sandsynligvis den første, der med succes udnyttede en UAFBR-fejl. "Så vidt jeg ved, er der i øjeblikket ingen offentligt tilgængelige udnyttelser rettet mod use-after-free-by-RCU-fejl," sagde Li. "Dette markerer det første tilfælde, hvor UAFBR-fejl har vist sig at kunne udnyttes."

Linux-kerneholdene fikser fejlen - ledet af Torvalds - modificerer grundlæggende kernens brugertilstands stakudvidelseskode for at forhindre, at tilstanden "brug efter fri" opstår.

"Det er faktisk noget, vi teknisk set altid burde have gjort," sagde Torvalds i et GitHub-indlæg. "Men fordi vi strengt taget ikke havde brug for [det], var vi dovne ('opportunistisk' lyder så meget bedre, ikke?) med tingene."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/stackrot-linux-kernel-bug-exploit-code