Dirty Cow on äsja avastatud, kuid 9-aastane viga, mida saab kasutada kõigi Androidi versioonide juurjuurdepääsu andmiseks.
Hoolimata asjaolust, et kümned tuhanded kasutajad otsivad aktiivselt Linuxi kerneli lähtekoodi ja otsivad aktiivselt turvavigu, ei ole ennekuulmatu, et tõsised vead jäävad märkamatuks. Lõppude lõpuks, kuigi tõenäosus, et midagi väga tõsist ilma jääb, väheneb, kui rohkem silmi kontrollib koodi, oleme kõik ikkagi inimesed ja teeme kindlasti vea. Seekordne viga tundub kahjuks üsna tõsine. A privileegide eskaleerimise ärakasutamine avastati hiljuti eelmisel nädalal ja kuigi see on juba lapitud põhiliini Linuxi tuumas võib viga olla potentsiaalselt ära kasutada peaaegu igas turul olevas Android-telefonis, kuni iga seade saab vastava kerneli paiga.
Sisestage Dirty Cow
Privileegide eskalatsiooni viga on kõnekeeles tuntud kui Dirty Cow exploit, kuid see on kataloogitud Linuxi kerneli veajälgimissüsteemis CVE-2016-5195. Kuigi viga avastati alles eelmisel nädalal, on see Linuxi kerneli koodis olemas olnud
9 aastat. Lisaks leidub kasutatavat koodi tarnitava Linuxi tuuma osast peaaegu kõik kaasaegsed operatsioonisüsteemid, mis on ehitatud Linuxi tuumale, sealhulgas Android tee. Veelgi hullem on see, et ekspluateerimise avastanud teadlased on leidnud tõendeid selle ärakasutamise kohta kasutatakse pahatahtlikult reaalses maailmas, nii et nad soovitavad kõigil Linuxi tuumale ehitatud tarkvara tarnivatel müüjatel eksploit kohe ära parandada.Dirty Cow iseenesest ei ole ärakasutamine, vaid pigem haavatavus. See haavatavus võimaldab aga suurendada kasutajaruumi protsessi privileege, andes sellele ülikasutaja õigused. Seda haavatavust ära kasutades võib pahatahtlikul kasutajaruumi protsessil olla ohvri seadmele piiramatu juurjuurdepääs. Tehnilisemalt öeldes hõlmab viga Linuxi mälu dubleerimise tehnika võistlustingimust, mida nimetatakse kirjutamisel kopeerimiseks. Seda võistlustingimust ära kasutades saavad kasutajad kirjutusjuurdepääsu mälu vastendustele, mis on tavaliselt seatud kirjutuskaitstuks. Haavatavuse üksikasju saab hankida siin, siinja siin.
Väidetavalt on turvaauku ärakasutamine üsna triviaalne ja see toimub vaid mõne päeva jooksul pärast haavatavuse avalikustamist. proof-of-concept privilege-escalation ärakasutamine jaoks on demonstreeritud kõik Android-seadmed. Kõik Android-seadmed, milles töötab Linuxi kerneli versioon, mis on suurem kui 2.6.22 (loe: iga Androidi distributsioon) võivad selle kontseptsiooni tõestamise ohvriks langeda. Kuigi kontseptsiooni tõestamise ärakasutamine ei saavuta tegelikult juurjuurdepääsu, muudab süsteemi ründamine selle haavatavuse abil selle üsna lihtsaks. ArsTechnicale saadetud e-kirjas kirjutas Linuxi tuuma arendaja Phil Oester, kes kataloogib Dirty Cow'i teadaolevaid reaalmaailma ärakasutusi. tema veebisait tal oli vea kohta öelda järgmist:
Minu testimise ajal saab iga kasutaja saada administraatoriks < 5 sekundiga, väga usaldusväärselt. Hirmutav värk.
Haavatavust on kõige lihtsam ära kasutada kohaliku juurdepääsu korral süsteemile, näiteks shellkontodele. Vähem triviaalselt toimib ka igasugune veebiserveri/rakenduse haavatavus, mis võimaldab ründajal faili mõjutatud süsteemi üles laadida ja seda käivitada.
Minu süsteemi üles laaditud konkreetne ärakasutamine kompileeriti GCC 4.8.5 versiooniga 20150623, kuigi see ei tohiks tähendada, et haavatavus ei olnud selle kuupäeva tõttu saadaval varem Pikaealisus. Seoses sellega, keda sihitakse, on haavatavad kõik, kes kasutavad Linuxit veebiserveris.
Olen viimastel aastatel kogunud oma veebiserveritesse kogu sissetulevat liiklust kohtuekspertiisi analüüsimiseks. See tava on osutunud mitmel korral hindamatuks ja ma soovitan seda kõigile administraatoritele. Sel juhul suutsin üleslaaditud binaarfaili nendest jäädvustustest eraldada, et analüüsida selle käitumist ja edastada asjakohastele Linuxi kerneli hooldajatele.
Pärast arendajate edasist tööd Dirty Cow'i kasutamise tõhususe demonstreerimisel Androidis suutis üks arendaja edukalt juurutada oma HTC turvaauku ära kasutades. Meie, XDA, tervitame üldiselt kasutajate võimalust omandada juurjuurdepääs, kuid me ei tähista selle olemasolu juurekspluatsid nagu see, eriti selline, mis on nii laialt levinud ja potentsiaalselt uskumatult ohtlik lõpetada kasutajad. Et anda teile aimu, kui ohtlik võib Dirty Cow looduses olla, pani YouTuber Computerphile kokku kiire video demonstreerides võimalikke pahatahtlike rünnakute vektoreid, mida häkkerid saavad kasutada vaikselt teie juurjuurdepääsu saamiseks seade.
Allikas: ArsTechnica [1]
Allikas: ArsTechnica [2]