Dirty Cow er en nyopdaget, men 9 år gammel fejl, der kan udnyttes til at give root-adgang på alle versioner af Android.
På trods af det faktum, at titusindvis af brugere aktivt sporer sig over Linux-kernens kildekode, aktivt leder efter sikkerhedsfejl, er det ikke uhørt, at alvorlige fejl går ubemærket hen. Når alt kommer til alt, selvom chancerne for at gå glip af noget utroligt alvorligt mindskes ved at have flere øjne, der auditerer koden, er vi alle stadig mennesker og er forpligtet til at begå en fejl. Fejlen denne gang lader til at være ret alvorlig, desværre. EN udnyttelse af privilegie-eskalering blev for nylig opdaget i sidste uge, og selvom det er allerede blevet rettet i mainline Linux-kernen kunne fejlen potentielt udnyttes på næsten alle Android-telefoner på markedet, indtil hver enhed modtager den passende kernepatch.
Indtast Dirty Cow
Privilegium-eskaleringsfejlen er i daglig tale kendt som Dirty Cow-udnyttelsen, men den er katalogiseret i Linux-kernens fejlsporingssystem som CVE-2016-5195. Selvom det først blev opdaget i sidste uge, har fejlen eksisteret i Linux-kernens kode for
Dirty Cow i sig selv er ikke en udnyttelse, men snarere en sårbarhed. Denne sårbarhed giver dog mulighed for at eskalere privilegiet for en brugerrumsproces, hvilket giver den superbrugerprivilegier. Ved at udnytte denne sårbarhed kan en ondsindet brugerrumsproces have uhindret root-adgang på et offers enhed. I mere tekniske termer involverer fejlen en race-tilstand af Linux-hukommelsesduplikeringsteknikken kendt som copy on write. Ved at udnytte denne race-tilstand kan brugere få skriveadgang til hukommelseskort, der normalt er indstillet til skrivebeskyttet. Flere detaljer om sårbarheden kan hentes fra her, her, og her.
Sikkerhedssårbarheden siges at være ret triviel at udnytte, og faktisk inden for få dage efter, at sårbarheden er blevet offentliggjort en proof-of-concept udnyttelse af privilegie-eskalering er blevet demonstreret for alle Android-enheder. Enhver Android-enhed, der kører en Linux-kerneversion større end 2.6.22 (læs: hver eneste eksisterende Android-distribution) kan potentielt blive offer for denne proof-of-concept udnyttelse. Selvom proof-of-concept-udnyttelsen faktisk ikke opnår root-adgang, gør angreb på systemet ved hjælp af denne sårbarhed det ret enkelt. I en e-mail sendt til ArsTechnica, Phil Oester, en Linux-kerneudvikler, der katalogiserer kendte virkelige udnyttelser af Dirty Cow på hans hjemmeside havde dette at sige om fejlen:
Enhver bruger kan blive root på < 5 sekunder i min test, meget pålideligt. Skræmmende ting.
Sårbarheden udnyttes nemmest med lokal adgang til et system såsom shell-konti. Mindre trivielt virker enhver webserver/applikationssårbarhed, som gør det muligt for hackeren at uploade en fil til det berørte system og eksekvere den, også.
Den særlige udnyttelse, som blev uploadet til mit system, blev kompileret med GCC 4.8.5 udgivet 20150623, selvom dette ikke burde betyde, at sårbarheden ikke var tilgængelig tidligere end den dato givet dens lang levetid. Med hensyn til, hvem der bliver målrettet, er enhver, der kører Linux på en webserver, sårbar.
I de sidste par år har jeg fanget al indgående trafik til mine webservere til retsmedicinsk analyse. Denne praksis har vist sig uvurderlig ved adskillige lejligheder, og jeg vil anbefale den til alle administratorer. I dette tilfælde var jeg i stand til at udtrække den uploadede binære fil fra disse optagelser for at analysere dens adfærd og eskalere til de relevante Linux-kernevedligeholdere.
Efter yderligere arbejde fra udviklere med at demonstrere effektiviteten af at udnytte Dirty Cow på Android, var en udvikler i stand til at med succes root sin HTC enhed inden for få sekunder ved at udnytte sårbarheden. Vi hos XDA hilser generelt brugernes mulighed for at få root-adgang velkommen, men vi fejrer ikke eksistensen af root exploits som denne, især en, der er så udbredt og potentielt utrolig farlig at afslutte brugere. For at give dig en idé om, hvor farlig Dirty Cow kan være i naturen, har YouTuber Computerphile sammensat en hurtig video demonstrerer de potentielle ondsindede angrebsvektorer, som hackere kan bruge til stille og roligt at opnå root-adgang på din enhed.
Kilde: ArsTechnica [1]
Kilde: ArsTechnica [2]