De Jann Horn vum Google Project Zero Team, deen eemol d'Spectre a Meltdown Schwachstelle identifizéiert huet, huet eng Technik verëffentlecht fir eng Schwachstelle (CVE-2021-4083) am Linux Kernel Gerempels ze exploitéieren. D'Schwachheet ass wéinst engem Rennenbedingung beim Botzen vun Dateideskriptoren op Unix Sockets a potenziell erlaabt engem lokalen onprivilegéierte Benotzer hire Code um Kernelniveau auszeféieren.
De Problem ass interessant well d'Zäitfenster während där d'Course Conditioun geschitt ass geschätzt ze kleng ze sinn fir richteg Exploiten ze kreéieren, awer den Auteur vun der Studie huet gewisen datt souguer sou ursprénglech skeptesch Schwachstelle kënnen d'Quell vun echte Attacke ginn wann den Exploit Creator huet déi néideg Fäegkeeten an Zäit. De Yann Horn huet gewisen, wéi Dir mat Hëllef vu Filigranmanipulatiounen de Rennbedéngung reduzéiere kënnt, deen optrieden wann Dir d'Zoumaache () a fget () Funktiounen gläichzäiteg an eng voll exploitéierbar Benotzung-no-gratis Schwachstelle kënnt an Zougang zu enger scho befreit Daten erreechen Struktur am Kärel.
A Course Conditioun geschitt während dem Prozess vun engem Fichier Descriptor zougemaach iwwerdeems zoumaachen () an fget () gläichzäiteg. Den Uruff fir zoumaachen () ka geschéien ier fget () ausgeführt gëtt, wat den Dreckstéck duerchernee wäert well, laut dem Recount, d'Dateistruktur keng extern Referenzen huet, mee bleift un den Dateideskriptor verbonnen, d.h. De Gerempels Sammler wäert mengen, datt et exklusiv Zougang zu der Struktur huet, mä eigentlech, fir eng kuerz Zäit, wäert déi reschtlech Entrée an der Datei Descriptor Dësch nach op d'Struktur befreit.
Fir d'Wahrscheinlechkeet ze erhéijen fir an e Rennenzoustand ze kommen, goufen e puer Tricks benotzt, déi et méiglech gemaach hunn d'Wahrscheinlechkeet vum Ausbeutungserfolleg op 30% ze erhéijen wann Dir systemspezifesch Optimisatiounen aféieren. Zum Beispill, fir d'Zäit fir Zougang zu enger Struktur mat Dateideskriptoren ëm e puer honnert Nanosekonnen ze vergréisseren, goufen d'Donnéeën aus dem Prozessor-Cache verdrängt andeems de Cache mat Aktivitéit op engem aneren CPU-Kär geläscht gouf, wat et méiglech gemaach huet d'Struktur aus der Erënnerung zréckzezéien anstatt aus der Erënnerung. de schnelle CPU Cache.
Déi zweet wichteg Feature war d'Benotzung vun Ënnerbriechungen generéiert vun engem Hardware Timer fir d'Course Conditioun Zäit ze erhéijen. De Moment gouf ausgewielt sou datt den Ënnerbriechungshandter géif brennen wann e Rennbedéngung geschitt ass an d'Ausféierung vum Code fir eng Zäit ënnerbrach. Fir d'Retour vun der Kontroll weider ze verzögeren, goufen ongeféier 50 Tausend Entréen an der Waardeschlaang mat epoll generéiert, wat d'Sich duerch den Ënnerbriechungshandler erfuerdert huet.
D'Technik fir d'Schwachheet auszenotzen gouf no enger 90-Deeg Net-Offenbarungsperiod verëffentlecht. De Problem erschéngt zënter dem Kernel 2.6.32 a gouf am Ufank Dezember fixéiert. De Fix gouf am Kernel 5.16 abegraff a gouf och op LTS Filialen vum Kernel a Kernel Packagen transferéiert, déi a Verdeelungen geliwwert ginn. Et ass bemierkenswäert datt d'Schwachheet während der Analyse vun engem ähnleche Problem CVE-2021-0920 identifizéiert gouf, deen sech am Müllsammler beim Veraarbechtung vum MSG_PEEK Fändel manifestéiert.
Source: opennet.ru