Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Nach "Dirty Pipe" ist nun auch Linux anfällig für "Dirty Creds"
DeShea Witcher
13. Oktober 2022. Vizepräsident für Marketing
Während viele von ihnen ihre wohlverdiente Ruhepause genossen, trafen sich Sicherheitsforscher, Hacker aller Couleur und Geheimdienstler aus der ganzen Welt auf der Sicherheitskonferenz Black Hat.
Wie so oft wurden einige interessante neue Sicherheitslücken aufgedeckt.
Eine der Schwachstellen, die sich von den anderen abhebt, wurde von einem Doktoranden, Zhenpeng Li, eingeführt und ist eine Variante von "Dirty Pipe", die Anfang dieses Jahres bekannt wurde und an "Dirty Cow" von vor einigen Jahren erinnert.
Diese neu gemeldete Sicherheitslücke wurde als "Dirty Creds" bezeichnet. Ob es sinnvoll ist, bestimmte Sicherheitslücken zu benennen, sei dahingestellt, aber es ist passiert.
Unter dem Namen "Dirty Pipe" (CVE-2022-0847) war es möglich, den Inhalt eines Caches im Kernel-Speicher zu überschreiben (d.h. zu "verschmutzen"), was wiederum den Inhalt einer Datei überschreiben würde, selbst wenn keine Schreibrechte zugewiesen waren. Dies beruhte auf der Ausnutzung des internen Kernel-Mechanismus, der den Cache liest (und schreibt), und - durch einige sorgfältig ausgewählte Flags - würde dies dazu führen, dass von einem Angreifer ausgewählte Daten in eine beliebige Datei geschrieben würden. Es gab einige zusätzliche Einschränkungen, aber das Kernproblem konnte schnell ausgenutzt werden, um die Privilegien in praktisch jedem Linux-System zu erhöhen.
Die neue Sicherheitslücke (CVE-2022-2588) missbraucht eine andere Kernel-Funktionalität und bietet eine Möglichkeit, die Berechtigungen zu ändern, mit denen eine bestimmte Aufgabe ausgeführt wird, unabhängig von den tatsächlichen Berechtigungen, die der Benutzer hat, der sie initiiert. Dies ist auf einen Heap-Missbrauch zurückzuführen, bei dem der Kernel dazu gebracht wird, andere Informationen in den Speicherplatz zu schreiben, in dem Anmeldeinformationen gespeichert sind (es handelt sich um kernelinterne Anmeldeinformationen für Aufgaben und offene Dateien, nicht um die Anmeldeinformationen, mit denen sich ein Benutzer bei einem System anmelden kann).
Um erfolgreich zu sein, muss ein Angreifer darauf warten, dass eine Kombination aus privilegierten und unprivilegierten Anmeldeinformationen in einer bestimmten Reihenfolge im Speicher abgelegt wird. Da dies jedoch auch Operationen zum Öffnen von Dateien einschließt, befindet sich das System häufig in einem anfälligen Zustand und kann sogar in diese Situation hineingetrickst werden, wenn dies nicht von selbst geschieht.
Einer der interessanten und potenziell schädlicheren Aspekte dieser neuen Schwachstelle ist, dass der Code, mit dem sie ausgenutzt werden kann, auf verschiedenen Architekturen (nicht nur x86_64) unverändert funktioniert. Folglich sind auch Systeme gefährdet, die normalerweise Speicherbeschädigungen und ähnliche Probleme wie dieses umgehen (einfach weil sie unterschiedliche Speicherstrukturen haben). Dies ist ein Unterschied zu herkömmlichen Exploits, die für jede CPU-Architektur individuell programmiert werden müssen, um Unterschiede in der Speicherausrichtung, der Anzahl der Befehle oder andere esoterische Merkmale zu berücksichtigen.
Der Status der KernelCare Enterprise Patches, die vor "Dirty Creds" schützen, für die verschiedenen betroffenen Distributionen und Kernel-Versionen kann unter https://cve.tuxcare.com/live?cve=2022-2588.
Leider ist die Sicherheitslücke nicht nur bekannt und wird ausgiebig diskutiert, sondern es wurde auch bereits öffentlicher Exploit-Code gefunden, so dass alle Systeme so schnell wie möglich gegen diese Sicherheitslücke gepatcht werden sollten.
