Куалис је пронашао начин да заобиђе маллоц и двоструку заштиту како би покренуо пренос контроле на код користећи рањивост у ОпенССХ 9.1 за коју је утврђено да има мали ризик од креирања оперативног експлоатације. Истовремено, могућност стварања радног експлоата остаје велико питање.
Рањивост је узрокована двоструком бесплатном пре-аутентификацијом. Да би се створили услови да се рањивост манифестује, довољно је променити банер ССХ клијента у „ССХ-2.0-ФуТТИСХ_9.1п1” (или неки други стари ССХ клијент) како би се поставиле ознаке „ССХ_БУГ_ЦУРВЕ25519ПАД” и „ССХ_ОЛД_ДХГЕКС”. Након постављања ових заставица, меморија за бафер “оптионс.кек_алгоритхмс” се два пута ослобађа.
Истраживачи из Куалиса, док су манипулисали рањивости, успели су да стекну контролу над „%рип“ процесорским регистром, који садржи показивач на следећу инструкцију која треба да се изврши. Развијена техника експлоатације омогућава вам да пренесете контролу на било коју тачку у адресном простору ссхд процеса у неажурираном ОпенБСД 7.2 окружењу, које се подразумевано испоручује са ОпенССХ 9.1.
Напомиње се да је предложени прототип имплементација само прве фазе напада – да би се направио радни експлоат, потребно је заобићи заштитне механизме АСЛР, НКС и РОП и избећи изолацију сандбок-а, што је мало вероватно. Да би се решио проблем заобилажења АСЛР, НКС и РОП, потребно је добити информације о адресама, што се може постићи идентификацијом друге рањивости која доводи до цурења информација. Грешка у привилегованом родитељском процесу или кернелу може помоћи да изађете из сандбок-а.
Извор: опеннет.ру