Беше разкрита техника за използване на уязвимост в подсистемата tty на ядрото на Linux

Изследователи от екипа на Google Project Zero публикуваха метод за използване на уязвимост (CVE-2020-29661) при внедряването на манипулатора TIOCSPGRP ioctl от подсистемата tty на ядрото на Linux, а също така разгледаха подробно защитните механизми, които биха могли да блокират такива уязвимости.

Грешката, причиняваща проблема, беше коригирана в ядрото на Linux на 3 декември миналата година. Проблемът се появява в ядра до версия 5.9.13, но повечето дистрибуции са коригирали проблема в актуализациите на пакетите на ядрото, предложени миналата година (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch). Подобна уязвимост (CVE-2020-29660) беше открита едновременно при изпълнението на повикването TIOCGSID ioctl, но също така вече е коригирана навсякъде.

Проблемът е причинен от грешка при задаване на заключвания, което води до състояние на надпревара в кода drivers/tty/tty_jobctrl.c, който е използван за създаване на условия за използване след освобождаване, експлоатирани от потребителското пространство чрез ioct манипулации, извикване на TIOCSPGRP. Беше демонстриран работещ експлойт за ескалация на привилегии на Debian 10 с ядро ​​4.19.0-13-amd64.

В същото време публикуваната статия се фокусира не толкова върху техниката за създаване на работещ експлойт, а по-скоро върху това какви инструменти съществуват в ядрото за защита срещу подобни уязвимости. Изводът не е утешителен, методи като сегментиране на паметта в купчината и контрол на достъпа до паметта след освобождаването й не се използват на практика, тъй като водят до намаляване на производителността и защита, базирана на CFI (Control Flow Integrity), която блокира подвизи в по-късните етапи на атака, има нужда от подобрение.

Когато обмисляте какво би направило разликата в дългосрочен план, едно, което се откроява, е използването на усъвършенствани статични анализатори или използването на безопасни за паметта езици като Rust и C диалекти с богати анотации (като Checked C) за проверка състояние по време на фазата на изграждане ключалки, обекти и указатели. Методите за защита също включват активиране на режима panic_on_oops, превключване на структурите на ядрото в режим само за четене и ограничаване на достъпа до системни повиквания чрез механизми като seccomp.

Източник: opennet.ru