Support technique
Documentation
Connexion
Nous contacter
Après le "Dirty Pipe", Linux est maintenant sensible au "Dirty Creds".
DeShea Witcher
13 octobre 2022 - Vice-président du marketing
Pendant que beaucoup étaient partis profiter d'un repos bien mérité, des chercheurs en sécurité, des pirates informatiques portant des chapeaux de toutes les couleurs et des agents de renseignement du monde entier se sont réunis à la conférence Black Hat sur la sécurité.
Comme c'est souvent le cas, de nouvelles vulnérabilités intéressantes ont été divulguées.
L'une des vulnérabilités les plus importantes a été introduite par un étudiant en doctorat, Zhenpeng Li. Il s'agit d'une variante de "Dirty Pipe", divulguée au début de l'année, qui rappelle elle-même "Dirty Cow" d'il y a quelques années.
Cette vulnérabilité récemment signalée a été baptisée "Dirty Creds". L'utilité de nommer des vulnérabilités spécifiques n'est pas encore établie, mais c'est arrivé.
En rappelant "Dirty Pipe" (CVE-2022-0847), il était possible d'écraser (c'est-à-dire de "salir") le contenu d'un cache dans la mémoire du noyau qui écraserait à son tour le contenu d'un fichier, même si aucune autorisation d'écriture n'était attribuée. Cela reposait sur l'exploitation du mécanisme interne du noyau qui lit (et écrit) dans le cache, et - grâce à certains drapeaux soigneusement sélectionnés - cela permettait d'écrire des données choisies par un attaquant dans n'importe quel fichier arbitraire. Il y avait quelques réserves supplémentaires, mais le problème de base était rapidement exploité pour élever les privilèges dans pratiquement n'importe quel système Linux.
La nouvelle vulnérabilité (CVE-2022-2588) abuse d'une autre fonctionnalité du noyau et fournit un moyen de modifier les privilèges avec lesquels une tâche donnée s'exécute, indépendamment des privilèges réels de l'utilisateur qui l'a lancée. Cela provient d'une situation d'abus de tas, où le noyau est amené à écrire des informations différentes dans l'emplacement mémoire où sont stockées les informations d'identification (il s'agit des informations d'identification des tâches internes au noyau et des informations d'identification des fichiers ouverts, et non des informations d'identification d'un utilisateur pour se connecter à un système).
Pour réussir, un attaquant doit attendre qu'une combinaison d'informations d'identification privilégiées et non privilégiées soit stockée dans un ordre particulier en mémoire, mais - puisque cela inclut également les opérations d'ouverture de fichiers - le système sera souvent dans un état sensible et peut même être piégé dans cette situation si elle ne se produit pas d'elle-même.
L'un des aspects intéressants, et potentiellement plus dommageables, de cette nouvelle vulnérabilité est que le code permettant de l'exploiter fonctionne de manière inchangée sur différentes architectures (pas seulement x86_64). Par conséquent, les systèmes qui échappent habituellement à la corruption de mémoire et aux problèmes connexes de ce type (simplement parce qu'ils ont des structures de mémoire différentes) sont également menacés. Il s'agit d'un changement par rapport aux exploits traditionnels qui doivent être codés sur mesure pour chaque architecture CPU particulière afin de tenir compte des différences d'alignement de la mémoire, du nombre d'instructions ou d'autres caractéristiques plus ésotériques.
Le statut des correctifs de KernelCare Enterprise qui protègent contre les "Dirty Creds" pour les différentes distributions et versions de noyau concernées peut être suivi à l'adresse suivante https://cve.tuxcare.com/live?cve=2022-2588.
Malheureusement, non seulement la vulnérabilité a été divulguée et discutée en détail, mais un code d'exploitation public a déjà été trouvé. Tous les systèmes doivent donc être protégés par des correctifs dès que possible.
