מצב מירוץ באספן האשפה של ליבת לינוקס שיכול להוביל להסלמה של הרשאות

Jann Horn מצוות Google Project Zero, שזיהה פעם את נקודות התורפה של Spectre ו-Meltdown, פרסם טכניקה לניצול פגיעות (CVE-2021-4083) באוסף האשפה של ליבת לינוקס. הפגיעות נובעת ממצב מירוץ בעת ניקוי מתארי קבצים בשקעי יוניקס ואפשר למשתמש מקומי ללא הרשאות להפעיל את הקוד שלו ברמת הקרנל.

הבעיה מעניינת מכיוון שחלון הזמן שבמהלכו מתרחש מצב המירוץ הוערך כקטן מכדי ליצור ניצולים אמיתיים, אך מחבר המחקר הראה שגם נקודות תורפה סקפטיות כאלה בתחילה יכולות להפוך למקור להתקפות אמיתיות אם יוצר הניצול יש הכישורים והזמן הדרושים. יאן הורן הראה כיצד, בעזרת מניפולציות פיליגרן, ניתן להפחית את מצב הגזע המתרחש בעת קריאה לפונקציות close() ו-fget() בו-זמנית לכדי פגיעות ניתנת לניצול מלא של שימוש לאחר-חופשי ולהשיג גישה לנתונים שכבר שוחררו מבנה בתוך הגרעין.

מצב מירוץ מתרחש במהלך תהליך סגירת מתאר קובץ תוך קריאה של close() ו-fget() בו-זמנית. הקריאה לסגור() עשויה להתרחש לפני ביצוע fget() מה שיבלבל את אוסף הזבל מכיוון שלפי ה-refcount, למבנה הקובץ לא יהיו הפניות חיצוניות, אלא יישאר מחובר לתיאור הקובץ, כלומר. אספן האשפה יחשוב שיש לו גישה בלעדית למבנה, אך למעשה, לפרק זמן קצר, הערך הנותר בטבלת מתארי הקבצים עדיין יצביע על שחרור המבנה.

כדי להגביר את הסבירות להיכנס למצב מרוץ, נעשה שימוש במספר טריקים, שאפשרו להגדיל את ההסתברות להצלחת הניצול ל-30% בעת הכנסת אופטימיזציות ספציפיות למערכת. לדוגמה, כדי להאריך את זמן הגישה למבנה עם מתארי קבצים בכמה מאות ננו-שניות, נתונים הודחו ממטמון המעבד על-ידי הטלת המטמון בפעילות על ליבת CPU אחרת, מה שאפשר לאחזר את המבנה מהזיכרון ולא מהזיכרון. מטמון המעבד המהיר.

התכונה החשובה השנייה הייתה השימוש בפסיקות שנוצרו על ידי טיימר חומרה כדי להגדיל את זמן תנאי המירוץ. הרגע נבחר כך שמטפל ההפרעות יורה כאשר התרחש מצב מירוץ ויפריע לביצוע הקוד למשך זמן מה. כדי לעכב עוד יותר את החזרת השליטה, נוצרו כ-50 אלף כניסות בתור ההמתנה באמצעות epoll, מה שהצריך חיפוש דרך מטפל ההפרעות.

הטכניקה לניצול הפגיעות נחשפה לאחר תקופת אי חשיפה של 90 יום. הבעיה מופיעה מאז הקרנל 2.6.32 ותוקנה בתחילת דצמבר. התיקון נכלל בקרנל 5.16 והועבר גם לסניפי LTS של הליבה וחבילות הקרנל שסופקו בהפצות. ראוי לציין שהפגיעות זוהתה במהלך ניתוח של בעיה דומה CVE-2021-0920, המתבטאת באוסף האשפה בעת עיבוד דגל MSG_PEEK.

מקור: OpenNet.ru