Dirty Cow er en nyoppdaget, men 9 år gammel feil som kan utnyttes til å gi root-tilgang på alle versjoner av Android.
Til tross for at titusenvis av brukere aktivt ser på Linux-kjernens kildekode som aktivt leter etter sikkerhetsfeil, er det ikke uhørt at alvorlige feil går ubemerket hen. Tross alt, selv om sjansene for å gå glipp av noe utrolig alvorlig reduseres ved å få flere øyne til å revidere koden, er vi alle fortsatt mennesker og kommer til å gjøre en feil. Feilen denne gangen ser ut til å være ganske alvorlig, dessverre. EN utnyttelse av privilegie-eskalering ble nylig oppdaget i forrige uke, og selv om det har allerede blitt lappet i mainline Linux-kjernen kunne feilen potensielt utnyttes på nesten alle Android-telefoner på markedet til hver enhet mottar den riktige kjerneoppdateringen.
Gå inn i Dirty Cow
Rettighetsopptrappingsfeilen er kjent i daglig tale som Dirty Cow-utnyttelsen, men den er katalogisert i Linux-kjernens feilsporingssystem som CVE-2016-5195. Selv om den først ble oppdaget i forrige uke, har feilen eksistert i Linux-kjernens kode for
Dirty Cow i seg selv er ikke en utnyttelse, men snarere en sårbarhet. Denne sårbarheten tillater imidlertid å eskalere rettighetene til en brukerplassprosess, og gi den superbrukerprivilegier. Ved å utnytte dette sikkerhetsproblemet kan en skadelig brukerromsprosess få uhindret root-tilgang på et offers enhet. I mer tekniske termer involverer feilen en rasetilstand for Linux-minnedupliseringsteknikken kjent som kopi ved skriving. Ved å utnytte denne rasetilstanden kan brukere få skrivetilgang til minnetilordninger som normalt er satt til skrivebeskyttet. Flere detaljer om sårbarheten kan hentes fra her, her, og her.
Sikkerhetssårbarheten sies å være ganske triviell å utnytte, og faktisk innen få dager etter at sårbarheten ble offentliggjort en proof-of-concept utnyttelse av privilegie-eskalering har blitt demonstrert for alle Android-enheter. Enhver Android-enhet som kjører en Linux-kjerneversjon større enn 2.6.22 (les: hver eneste Android-distribusjon som eksisterer) kan potensielt bli offer for denne proof-of-concept-utnyttelsen. Selv om proof-of-concept-utnyttelsen faktisk ikke oppnår root-tilgang, gjør det ganske enkelt å angripe systemet ved å bruke denne sårbarheten. I en e-post sendt til ArsTechnica, Phil Oester, en Linux-kjerneutvikler som katalogiserer kjente virkelige utnyttelser av Dirty Cow på nettstedet hans hadde dette å si om feilen:
Enhver bruker kan bli root på < 5 sekunder i min testing, veldig pålitelig. Skremmende greier.
Sårbarheten utnyttes enklest med lokal tilgang til et system som for eksempel shell-kontoer. Mindre trivielt, enhver webserver/applikasjonssårbarhet som lar angriperen laste opp en fil til det berørte systemet og kjøre den fungerer også.
Den spesielle utnyttelsen som ble lastet opp til systemet mitt ble kompilert med GCC 4.8.5 utgitt 20150623, Selv om dette ikke burde bety at sårbarheten ikke var tilgjengelig tidligere enn den datoen gitt dens lang levetid. Når det gjelder hvem som blir målrettet, er alle som kjører Linux på en web-vendt server sårbare.
De siste årene har jeg fanget opp all inngående trafikk til webserverne mine for rettsmedisinsk analyse. Denne praksisen har vist seg uvurderlig ved en rekke anledninger, og jeg vil anbefale den til alle administratorer. I dette tilfellet var jeg i stand til å trekke ut den opplastede binære filen fra disse fangstene for å analysere oppførselen, og eskalere til de riktige Linux-kjernevedlikeholderne.
Etter videre arbeid fra utviklere med å demonstrere effektiviteten av å utnytte Dirty Cow på Android, var en utvikler i stand til å lykkes med å roote sin HTC enheten innen sekunder ved å utnytte sårbarheten. Vi i XDA hilser generelt brukernes mulighet til å få root-tilgang velkommen, men vi feirer ikke eksistensen av rotutnyttelser som dette, spesielt en som er så utbredt og potensielt utrolig farlig å få slutt på brukere. For å gi deg en idé om hvor farlig Dirty Cow kan være i naturen, satte YouTuber Computerphile sammen en rask video demonstrere potensielle ondsinnede angrepsvektorer som hackere kan bruke for å stille tilgang til root på din enhet.
Kilde: ArsTechnica [1]
Kilde: ArsTechnica [2]