נחשפה טכניקה לניצול פגיעות בתת-מערכת tty של ליבת לינוקס

חוקרים מצוות Google Project Zero פרסמו שיטה לניצול פגיעות (CVE-2020-29661) בהטמעת המטפל TIOCSPGRP ioctl מתת-המערכת tty של ליבת לינוקס, וכן בדקו בפירוט את מנגנוני ההגנה שעלולים לחסום כאלה פגיעות.

הבאג שגרם לבעיה תוקן בליבת לינוקס ב-3 בדצמבר בשנה שעברה. הבעיה מופיעה בקרנלים עד גרסה 5.9.13, אך רוב ההפצות תיקנו את הבעיה בעדכונים לחבילות ליבה שהוצעו בשנה שעברה (Debian, RHEL, SUSE, Ubuntu, Fedora, Arch). פגיעות דומה (CVE-2020-29660) נמצאה בו-זמנית בהטמעת קריאת TIOCGSID ioctl, אך היא גם תוקנה בכל מקום.

הבעיה נגרמת על ידי שגיאה בעת הגדרת נעילות, מה שמוביל למצב מרוץ בקוד drivers/tty/tty_jobctrl.c, אשר שימש ליצירת תנאי שימוש-אחרי-חופשי מנוצלים ממרחב המשתמש באמצעות מניפולציות של ioct. קוראים TIOCSPGRP. הוכח ניצול עובד להסלמה של הרשאות בדביאן 10 עם ליבה 4.19.0-13-amd64.

יחד עם זאת, המאמר שפורסם לא מתמקד כל כך בטכניקה של יצירת ניצול עובד, אלא באילו כלים קיימים בקרנל כדי להגן מפני פגיעויות כאלה. המסקנה אינה מנחמת; שיטות כמו פילוח זיכרון בערימה ושליטה בגישה לזיכרון לאחר שחרורו אינן בשימוש בפועל, מכיוון שהן מובילות לירידה בביצועים, והגנה מבוססת CFI (Control Flow Integrity), אשר חוסם ניצולים בשלבים מאוחרים יותר של התקפה, טעון שיפור.

כאשר בוחנים מה יעשה הבדל בטווח הארוך, אחד הבולט הוא השימוש במנתחים סטטיים מתקדמים או שימוש בשפות בטוחות בזיכרון כגון ניבים חלודה ו-C עם הערות עשירות (כגון מסומן C) כדי לבדוק מצב במהלך שלב הבנייה מנעולים, חפצים ומצביעים. שיטות ההגנה כוללות גם הפעלת מצב panic_on_oops, החלפת מבני ליבה למצב קריאה בלבד והגבלת גישה לשיחות מערכת באמצעות מנגנונים כגון seccomp.

מקור: OpenNet.ru