A Dirty Cow egy újonnan felfedezett, de 9 éves hiba, amelyet kihasználva root hozzáférést lehet biztosítani az Android összes verzióján.
Annak ellenére, hogy felhasználók tízezrei keresik aktívan a Linux kernel forráskódját, és keresik a biztonsági hibákat, nem ritka, hogy komoly hibákat észrevétlenül hagynak. Végtére is, bár az esélye annak, hogy valami hihetetlenül komoly dologról lemaradjon, csökken, ha több szem ellenőrzi a kódot, mégis mindannyian emberek vagyunk, és hibázni kell. A hiba ezúttal sajnos elég súlyosnak tűnik. A privilégium-eszkaláció kihasználása nemrég fedezték fel a múlt héten, és bár az már foltozva lett a fő Linux kernelben a hiba előfordulhat potenciálisan kihasználják szinte minden piacon lévő Android-telefonon, amíg minden eszköz meg nem kapja a megfelelő kerneljavítást.
Írja be a Dirty Cow-t
A privilégium-eszkalációs hibát a köznyelvben Dirty Cow exploitként ismerik, de a Linux kernel hibakövető rendszerében CVE-2016-5195 néven katalógusba sorolták. Bár csak a múlt héten fedezték fel, a hiba létezett a Linux kernel kódjában
9 év. Ezen túlmenően a kihasználható kód a Linux kernel egy részében található gyakorlatilag minden modern operációs rendszer, amely a Linux kernelre épül – beleértve az Androidot is az út. A legrosszabb az, hogy a kutatók, akik feltárták a kizsákmányolást, bizonyítékot találtak arra, hogy a kizsákmányolás az rosszindulatúan használják a valós világban, ezért azt tanácsolják a Linux kernelre épített szoftvereket szállító összes gyártónak, hogy azonnal javítsák ki a kizsákmányolást.A Dirty Cow önmagában nem kizsákmányolás, hanem inkább sebezhetőség. Ez a sérülékenység azonban lehetővé teszi a felhasználói területfolyamatok jogosultságának kiterjesztését, szuperfelhasználói jogosultságok biztosításával. A biztonsági rést kihasználva egy rosszindulatú felhasználói területi folyamat korlátlan root hozzáférést kaphat az áldozat eszközéhez. Technikai értelemben a hiba a Linux memóriaduplikációs technikájának egy versenyfeltételét jelenti, amelyet írásra másolásnak neveznek. Ennek a versenyfeltételnek a kihasználásával a felhasználók írási hozzáférést kaphatnak a normál esetben csak olvashatóra beállított memórialeképezésekhez. A sérülékenység további részleteiről leszűrhető itt, itt, és itt.
A biztonsági rést állítólag meglehetősen triviális kihasználni, és a sérülékenység nyilvánosságra hozatalától számított néhány napon belül proof-of-concept privilégium-eszkaláció kihasználása számára bizonyították minden Android készülék. Bármely Android-eszköz, amely 2.6.22-nél nagyobb Linux kernelverziót futtat (olvassa el: minden létező Android disztribúció). Bár a proof-of-concept exploit valójában nem ér el root hozzáférést, a rendszer megtámadása ezzel a sérülékenységgel nagyon egyszerűvé teszi. Az ArsTechnicának küldött e-mailben Phil Oester, egy Linux kernel fejlesztő, aki a Dirty Cow ismert valós kihasználásait katalogizálja. a weboldalát ezt mondtam a hibáról:
Bármely felhasználó 5 másodpercnél rövidebb idő alatt rootré válhat a tesztelésem során, nagyon megbízhatóan. Ijesztő dolgok.
A sérülékenységet legkönnyebben egy rendszerhez, például shell-fiókokhoz való helyi hozzáféréssel lehet kihasználni. Kevésbé triviálisan működik minden olyan webszerver/alkalmazás-sebezhetőség, amely lehetővé teszi a támadó számára, hogy fájlt töltsön fel az érintett rendszerre, és végrehajtsa azt.
A rendszeremre feltöltött adott exploit a GCC 4.8.5 20150623-as verziójával lett lefordítva, ez azonban nem jelenti azt, hogy a sérülékenység az adott időpontnál korábban nem volt elérhető hosszú élet. Ami azt illeti, hogy kit céloznak meg, bárki sebezhető, aki Linuxot futtat webes kiszolgálón.
Az elmúlt néhány évben a webszerveremre irányuló összes bejövő forgalmat kriminalisztikai elemzés céljából rögzítem. Ez a gyakorlat számos alkalommal felbecsülhetetlen értékűnek bizonyult, és minden adminisztrátornak ajánlom. Ebben az esetben ki tudtam bontani a feltöltött bináris fájlt ezekből a rögzítésekből, hogy elemezzem a viselkedését, és továbbítsam a megfelelő Linux-kernel-karbantartókhoz.
Miután a fejlesztők további munkát végeztek a Dirty Cow Androidon való kihasználásának hatékonyságának demonstrálására, az egyik fejlesztőnek sikerült sikeresen rootolta a HTC-jét másodperceken belül a biztonsági rést kihasználva. Mi az XDA-nál általában üdvözljük, hogy a felhasználók root hozzáférést szerezhetnek, de nem ünnepeljük ennek létezését az ehhez hasonló gyökér exploitokat, különösen olyat, amely annyira elterjedt és potenciálisan hihetetlenül veszélyes a megszüntetése felhasználókat. Hogy képet kapj arról, milyen veszélyes lehet a Dirty Cow a vadonban, a Computerphile YouTuber összeállított egy gyors videót bemutatja azokat a potenciális rosszindulatú támadási vektorokat, amelyek segítségével a hackerek csendesen elérhetik a root hozzáférést eszköz.
Forrás: ArsTechnica [1]
Forrás: ArsTechnica [2]