Qualys het 'n manier gevind om malloc en dubbelvrye beskerming te omseil om 'n oordrag van beheer na kode te begin deur 'n kwesbaarheid in OpenSSH 9.1 te gebruik wat vasgestel is dat dit 'n lae risiko het om 'n werkende uitbuiting te skep. Terselfdertyd bly die moontlikheid om 'n werkende ontginning te skep 'n groot vraag.
Die kwesbaarheid word veroorsaak deur 'n vooraf-verifikasie dubbel gratis. Om voorwaardes te skep vir die kwesbaarheid om te manifesteer, is dit genoeg om die SSH-kliënt-banier na "SSH-2.0-FuTTYSH_9.1p1" (of 'n ander ou SSH-kliënt) te verander om die "SSH_BUG_CURVE25519PAD" en "SSH_OLD_DHGEX" vlae te stel. Nadat hierdie vlae gestel is, word die geheue vir die "options.kex_algorithms"-buffer twee keer vrygestel.
Navorsers van Qualys kon, terwyl hulle die kwesbaarheid manipuleer, beheer kry oor die "%rip" verwerkerregister, wat 'n wyser bevat na die volgende instruksie wat uitgevoer moet word. Die ontwikkelde uitbuitingstegniek laat jou toe om beheer oor te dra na enige punt in die adresruimte van die sshd-proses in 'n onopgedateerde OpenBSD 7.2-omgewing, wat by verstek met OpenSSH 9.1 verskaf word.
Daar word kennis geneem dat die voorgestelde prototipe slegs 'n implementering van die eerste fase van die aanval is - om 'n werkende ontginning te skep, is dit nodig om die ASLR-, NX- en ROP-beskermingsmeganismes te omseil, en om sandbox-isolasie te ontsnap, wat onwaarskynlik is. Om die probleem om ASLR, NX en ROP te omseil op te los, is dit nodig om inligting oor adresse te bekom, wat bereik kan word deur 'n ander kwesbaarheid te identifiseer wat lei tot inligtinglek. 'n Fout in die bevoorregte ouerproses of kern kan help om die sandbox te verlaat.
Bron: opennet.ru