Линукс-уязвимость под атакой | автор: admin | 2 ноября 2016
Категория: Security
Брешь девятилетней давности в GNU/linux, актуальная для любого дистрибутива, недавно использовали в атаке на itw.
«Данную брешь назвали Dirty Cow (Dirty COW», «грязная корова») из-за ее присутствия в linux-функции копирования при записи (copy-on-write, COW), довольно опасна, так как позволяет локальным пользователям получать права администратора.
Уязвимость Dirty Cow (CVE-2016-5195) вызывается состоянием гонки при обработке COW-операций в подсистеме управления памятью и приводит к возможности выполнить запись в область памяти, доступную только для чтения. На прошлой недели было выпущено обновление ядра, патчи для популярных дистрибутивов уже подготовлены. Представитель Red Hat заявил на своем сервисе динамического патчинга ядра, kpatch, предлагаю временное решение, которое доступно подписчикам через местные службы поддержки.
Факт эксплуатации CVE-2016-5195 недавно обнаружил исследователь Фил Эстер (Phil Oester), который поспешил опубликовать найденую брешь, снабдив новость ссылками на подробности уязвимости и на PoC-эксплойт. По свидетельству Эстера, данный баг проявляется в ядре начиная с выпуска 2.6.22, то есть аз с 2007 года.
«Этот баг позволяет при наличии локальной учетной записи в системе изменять бинарники, хранящиеся на жёстком диске, обходя стандартные механизмы прав доступа, пресекающие изменение файлов при отсутствии соответствующих прав доступа», – пишет Эстер на GitHub.
Согласно мнения Джоша Брессерса (Josh Bressers), специалиста Red Hat по ИБ-стратегии, Dirty Cow весьма опасна, но, поскольку ее невозможно использать удаленно, она менее критична, чем Heartbleed и другие масштабные бреши, с которыми системные администраторы имели дело последние несколько лет. «Она не столь взрывоопасна, как другие баги, которым дали имена, – говорит Брессерс. – Атакующий для начала должен внедриться внедриться, и лишь после этого он сможет использовать брешь для получения прав администратора. Эта уязвимость серьёзнее, но в меньшей степени, так как требует не один эксплойт, а два».
Механизм COW реализован на многих платформах и предназначен чтобы оптимизировать потребление физической памяти. Одну и ту же отображенную страницу могут использовать многие процессы, но настоящая копия этой области данных используется только тогда, когда пользователь выполняет запись. В данном случае страница помечается «грязной» (флагом dirty), объясняет Брессерс.
«Проблема выплыла из-за того, что в ядре имелась логическая ошибка, позволяющая создават эффект гонки, – объясняет Брессерс. – Что открывает возможность записи в оригинальную страницу до того, как ядро отделит страницы, помеченные грязными. Другая часть процесса в это время выполняет запись. Это позволяет изменить файл на диске, который в других условиях изменить невозможно».
Брессерс отметил, что виртуальные машины и контейнеры позволяют ограничить возможности взломщиков. Они, например, не смогут совершать побег из VM и атаковать хост-сервер. «Современные эксплойты не рассчитываются на работу в контейнерах, – объявняет эксперт. – Если действия происходят в контейнере, ограничительные механизмы будут препятствовать побегу из контейнера. Для выхода из контейнера понадобится много усилий, и данном случае новейшие технологии окажутся как нельзя кстати».»
http://news.softodrom.ru/ap/b26407.shtml
Прочитано 90925 раз
Брешь девятилетней давности в GNU/linux, актуальная для любого дистрибутива, недавно использовали в атаке на itw.
«Данную брешь назвали Dirty Cow (Dirty COW», «грязная корова») из-за ее присутствия в linux-функции копирования при записи (copy-on-write, COW), довольно опасна, так как позволяет локальным пользователям получать права администратора.
Уязвимость Dirty Cow (CVE-2016-5195) вызывается состоянием гонки при обработке COW-операций в подсистеме управления памятью и приводит к возможности выполнить запись в область памяти, доступную только для чтения. На прошлой недели было выпущено обновление ядра, патчи для популярных дистрибутивов уже подготовлены. Представитель Red Hat заявил на своем сервисе динамического патчинга ядра, kpatch, предлагаю временное решение, которое доступно подписчикам через местные службы поддержки.
Факт эксплуатации CVE-2016-5195 недавно обнаружил исследователь Фил Эстер (Phil Oester), который поспешил опубликовать найденую брешь, снабдив новость ссылками на подробности уязвимости и на PoC-эксплойт. По свидетельству Эстера, данный баг проявляется в ядре начиная с выпуска 2.6.22, то есть аз с 2007 года.
«Этот баг позволяет при наличии локальной учетной записи в системе изменять бинарники, хранящиеся на жёстком диске, обходя стандартные механизмы прав доступа, пресекающие изменение файлов при отсутствии соответствующих прав доступа», – пишет Эстер на GitHub.
Согласно мнения Джоша Брессерса (Josh Bressers), специалиста Red Hat по ИБ-стратегии, Dirty Cow весьма опасна, но, поскольку ее невозможно использать удаленно, она менее критична, чем Heartbleed и другие масштабные бреши, с которыми системные администраторы имели дело последние несколько лет. «Она не столь взрывоопасна, как другие баги, которым дали имена, – говорит Брессерс. – Атакующий для начала должен внедриться внедриться, и лишь после этого он сможет использовать брешь для получения прав администратора. Эта уязвимость серьёзнее, но в меньшей степени, так как требует не один эксплойт, а два».
Механизм COW реализован на многих платформах и предназначен чтобы оптимизировать потребление физической памяти. Одну и ту же отображенную страницу могут использовать многие процессы, но настоящая копия этой области данных используется только тогда, когда пользователь выполняет запись. В данном случае страница помечается «грязной» (флагом dirty), объясняет Брессерс.
«Проблема выплыла из-за того, что в ядре имелась логическая ошибка, позволяющая создават эффект гонки, – объясняет Брессерс. – Что открывает возможность записи в оригинальную страницу до того, как ядро отделит страницы, помеченные грязными. Другая часть процесса в это время выполняет запись. Это позволяет изменить файл на диске, который в других условиях изменить невозможно».
Брессерс отметил, что виртуальные машины и контейнеры позволяют ограничить возможности взломщиков. Они, например, не смогут совершать побег из VM и атаковать хост-сервер. «Современные эксплойты не рассчитываются на работу в контейнерах, – объявняет эксперт. – Если действия происходят в контейнере, ограничительные механизмы будут препятствовать побегу из контейнера. Для выхода из контейнера понадобится много усилий, и данном случае новейшие технологии окажутся как нельзя кстати».»
http://news.softodrom.ru/ap/b26407.shtml
ВНИМАНИЕ !
Возможно что-то уже неактуально. Обращайте внимание на даты !
Эта статья опубликована 2 ноября 2016-го года !
Прочитано 90925 раз