권한 상승으로 이어질 수 있는 Linux 커널 가비지 수집기의 경쟁 조건

한때 Spectre 및 Meltdown 취약점을 식별한 Google Project Zero 팀의 Jann Horn은 Linux 커널 가비지 수집기의 취약점(CVE-2021-4083)을 악용하는 기술을 공개했습니다. 이 취약점은 Unix 소켓에서 파일 설명자를 정리할 때 발생하는 경쟁 조건으로 인해 발생하며 잠재적으로 권한이 없는 로컬 사용자가 커널 수준에서 코드를 실행할 수 있도록 허용합니다.

이 문제는 경쟁 조건이 발생하는 기간이 실제 공격을 생성하기에는 너무 짧은 것으로 추정되었기 때문에 흥미롭습니다. 그러나 연구 작성자는 처음에는 이러한 회의적인 취약점조차도 공격 작성자가 다음과 같은 경우 실제 공격의 소스가 될 수 있음을 보여주었습니다. 필요한 기술과 시간. Yann Horn은 선조 조작의 도움으로 close() 및 fget() 함수를 동시에 호출할 때 발생하는 경쟁 조건을 완전히 악용 가능한 use-after-free 취약점으로 줄이고 이미 해제된 데이터에 액세스할 수 있는 방법을 보여주었습니다. 커널 내부 구조.

close()와 fget()을 동시에 호출하면서 파일 디스크립터를 닫는 과정에서 경쟁 조건이 발생합니다. fget()이 실행되기 전에 close()에 대한 호출이 발생할 수 있으며, 이는 refcount에 따라 파일 구조에 외부 참조가 없지만 파일 설명자에 연결된 상태로 유지되므로 가비지 수집기를 혼란스럽게 합니다. 가비지 수집기는 자신이 구조에 독점적으로 액세스할 수 있다고 생각하지만 실제로는 짧은 시간 동안 파일 설명자 테이블의 나머지 항목이 여전히 해제되는 구조를 가리킵니다.

경쟁 조건에 빠질 가능성을 높이기 위해 여러 가지 트릭을 사용하여 시스템별 최적화를 도입할 때 악용 성공 확률을 30%까지 높일 수 있었습니다. 예를 들어, 파일 설명자가 있는 구조에 액세스하는 시간을 수백 나노초만큼 늘리기 위해 캐시를 다른 CPU 코어의 활동으로 뒤덮어 프로세서 캐시에서 데이터를 제거했습니다. 빠른 CPU 캐시.

두 번째 중요한 기능은 경쟁 조건 시간을 늘리기 위해 하드웨어 타이머에 의해 생성된 인터럽트를 사용하는 것입니다. 경쟁 조건이 발생할 때 인터럽트 핸들러가 실행되고 일정 시간 동안 코드 실행을 중단하도록 순간이 선택되었습니다. 제어권 반환을 더욱 지연시키기 위해 epoll을 사용하여 대기 대기열에 약 50만 개의 항목이 생성되었으며, 이를 위해서는 인터럽트 핸들러를 통한 검색이 필요했습니다.

해당 취약점을 악용하는 기술은 90일의 비공개 기간 이후 공개되었습니다. 이 문제는 커널 2.6.32부터 나타나며 5.16월 초에 수정되었습니다. 수정 사항은 커널 2021에 포함되었으며 배포판에 제공된 커널 및 커널 패키지의 LTS 분기에도 전송되었습니다. MSG_PEEK 플래그를 처리할 때 가비지 수집기에서 나타나는 유사한 문제 CVE-0920-XNUMX을 분석하는 동안 취약점이 식별되었다는 점은 주목할 만합니다.

출처 : opennet.ru