“Stack Clash” representa uma ameaça para Linux, FreeBSD, OpenBSD e outros sistemas operacionais.

Uma série de sistemas operacionais baseados em Unix – incluindo Linux, OpenBSD e FreeBSD – contém falhas que permitem aos atacantes elevar o acesso de baixo nível em um computador vulnerável à raiz sem restrições. Especialistas em segurança estão aconselhando os administradores a instalar parches ou a tomar outras ações de proteção o mais rápido possível.

Stack Clash, como a vulnerabilidade está sendo chamada, é mais provável que seja encadeada para outras vulnerabilidades para fazê-los de forma mais eficaz, com o código mal-intencionado, pesquisadores da Qualys, a empresa de segurança que descobriu os bugs, disse em uma postagem no blog publicada na segunda-feira . Tais vulnerabilidades de escalonamento de privilégios locais também podem representar uma séria ameaça para os provedores de hospedagem do servidor porque um cliente pode explorar a falha para obter controle sobre outros processos do cliente que funcionam no mesmo servidor. Qualys disse que também é possível que o Stack Clash possa ser explorado de uma forma que lhe permita executar diretamente o código diretamente.

“Esta é uma maneira bastante direta de obter raiz depois que você já obteve algum tipo de acesso ao nível do usuário”, disse Jimmy Graham, diretor de gerenciamento de produtos da Qualys, a Ars. O ataque funciona fazendo com que uma região da memória do computador conhecida como pilha colide em regiões de memória separadas que armazenam códigos ou dados não relacionados. “O conceito não é novo, mas essa exploração específica é definitivamente nova”.

Os desenvolvedores de sistemas operacionais afetados estão no processo de liberação de patches agora. Um aviso publicado segunda-feira de manhã pelo distribuidor Linux Red Hat disse que as atenuações podem causar problemas de desempenho sob a forma de “sobreposição de valores em / proc / meminfo”, mas não são susceptíveis de afetar as operações normais. Os desenvolvedores podem liberar uma solução para esses problemas mais tarde. Um representante da Qualys disse à Ars que pesquisadores da empresa trabalharam com desenvolvedores do FreeBSD, NetBSD, OpenBSD, Solaris e as principais distribuições de Linux, incluindo Red Hat e SuSE, Debian e Ubuntu. O representante disse que os pesquisadores da empresa não pesquisaram produtos da Microsoft ou da Apple, mas que eles contataram as duas empresas de antemão para que pudessem investigar. O efeito que a vulnerabilidade pode ter no sistema operacional móvel Android do Google não é claro.

A pilha de sistema operacional é um pedaço dinâmico de memória que cresce e diminui dependendo das aplicações e funções que são executadas em determinado momento. Se a pilha se expande demais, pode chegar perto o suficiente para outras regiões de memória para permitir que os atacantes substituam a pilha por uma região próxima ou vice-versa. Stack Clash teve seu nome porque o primeiro passo em uma exploração é tropeçar a pilha em outro pedaço de memória.

Não fechado depois de tudo

As vulnerabilidades do Stack Clash ganharam progressivamente uma consciência generalizada, primeiro em 2005 com os resultados da pesquisadora de segurança Gaël Delalleau e cinco anos depois com o lançamento de uma vulnerabilidade do Linux pelo pesquisador Rafal Wojtczuk. Os desenvolvedores do Linux apresentaram uma proteção destinada a prevenir choques de pilha, mas a pesquisa de hoje demonstra que é relativamente fácil para os atacantes ignorar essa medida.

O ataque primário de prova de conceito desenvolvido pela Qualys explora uma vulnerabilidade indexada como CVE-2017-1000364. Pesquisadores da Qualys também desenvolveram ataques que usam o Stack Clash para explorar vulnerabilidades separadas, incluindo CVE-2017-1000365 e CVE-2017-1000367. Por exemplo, quando combinado com o CVE-2017-1000367, uma falha recentemente corrigida no Sudo também descoberta pela Qualys, os usuários locais podem explorar o Sudo para obter privilégios de root completos em uma gama muito maior de SOs. A Qualys até agora não conseguiu fazer as explorações executar remotamente o código. A única aplicação remota que eles investigaram foi o servidor de e-mail Exim, que, ocasionalmente, acabou por ser inexplorável. A Qualys disse que não pode excluir a possibilidade de que tais explorações de execução de código remoto existam. Qualys disse que liberará as explorações de prova de conceito em uma data posterior, uma vez que as pessoas tiveram tempo para se proteger contra as vulnerabilidades.

Qualquer pessoa que esteja executando um sistema operacional baseado em Unix deve verificar com o desenvolvedor imediatamente para descobrir se um patch ou aviso de segurança está disponível. A melhor opção é instalar um patch se estiver disponível ou, como uma solução temporária, configure o RLIMIT STACK e RLIMIT_AS rígidos de usuários locais e serviços remotos com um valor baixo. Mais informações estão disponíveis neste consultório técnico detalhado da Qualys e desta análise técnica da segurança .

O que é o Stack Clash?

O Stack Clash é uma vulnerabilidade no gerenciamento de memória de vários sistemas operacionais. Isso afeta Linux, OpenBSD, NetBSD, FreeBSD e Solaris, em i386 e amd64. Ele pode ser explorado por atacantes para corromper a memória e executar código arbitrário .

Os investigadores da Qualys descobriram esta vulnerabilidade e desenvolveram sete explorações e sete provas de conceito para essa fraqueza, e trabalharam em estreita colaboração com os fornecedores para desenvolver patches. Como resultado, estamos divulgando este aviso hoje como um esforço coordenado, e os patches para todas as distribuições estão disponíveis 19 de junho de 2017. Recomendamos fortemente que os usuários atribuam uma alta prioridade ao corrigir essas vulnerabilidades imediatamente.

Qual é a vulnerabilidade do Stack Clash, precisamente?

Cada programa executado em um computador usa uma região de memória especial chamada pilha . Essa região de memória é especial porque cresce automaticamente quando o programa precisa de mais memória de pilha. Mas se crescer demais e ficar muito perto de outra região de memória, o programa pode confundir a pilha com a outra região de memória. Um invasor pode explorar essa confusão para substituir a pilha pela outra região da memória ou pelo contrário.

Por que é chamado de Choque de pilha?

O primeiro passo para explorar essa vulnerabilidade é colidir, ou chocar, a pilha com outra região de memória. Daí o nome: The Stack Choque.

É uma nova vulnerabilidade?

A idéia de chocar a pilha com outra região de memória não é nova: foi explorada pela primeira vez em 2005 e uma segunda vez em 2010 . Após o exploit de 2010, o Linux apresentou uma proteção contra tais façanhas: a chamada “stack-page”. Hoje, mostramos que os conflitos de pilha são generalizados e exploráveis, apesar da proteção da pilha de proteção.

O Stack Choque é uma ou várias vulnerabilidades?

Nossa principal vulnerabilidade de Stack Clash é CVE-2017-1000364 e demonstra que uma página de proteção de pilha de alguns kilobytes é insuficiente. Mas durante a nossa pesquisa, descobrimos mais vulnerabilidades: algumas são secundárias e diretamente relacionadas à vulnerabilidade primária do Stack Clash (por exemplo, CVE-2017-1000365 ), e algumas são exploráveis ​​independentemente (por exemplo, CVE-2017-1000367 ).

Eu sou afetado pelo Stack Choque?

Se você estiver usando Linux, OpenBSD, NetBSD, FreeBSD ou Solaris, no i386 ou em amd64, você é afetado. Outros sistemas operacionais e arquiteturas também podem ser vulneráveis, mas ainda não pesquisamos nenhum deles: consulte a declaração oficial do fornecedor sobre o Choque de pilha para obter mais informações.

Quais são os riscos colocados pelo Stack Choque?

As explorações e provas de conceito que desenvolvemos no decorrer de nossa pesquisa são todas Escalações de Privilégios Locais : um invasor que possui qualquer tipo de acesso a um sistema afetado pode explorar a vulnerabilidade do Stack Clash e obter privilégios de root completos.

É explorável remotamente?

Nossa pesquisa centrou-se principalmente na exploração local: a partir desta escrita em 19 de junho de 2017, não conhecemos nenhuma aplicação remotamente explorável. No entanto, a exploração remota do Stack Clash não é excluída; Embora a exploração local seja sempre mais fácil, e a exploração remota será muito específica para a aplicação. A única aplicação remota que investigamos (o servidor de correio Exim) acabou por ser inexplorável por pura sorte.

Como posso proteger meu sistema do Choque de pilha?

A maneira mais fácil e segura de proteger seu sistema é atualizá-lo: trabalhamos com os fornecedores afetados desde o início de maio, e quando você ler isso, seus patches e atualizações estarão disponíveis.

E se eu não puder (ou não quiser) atualizar ou reiniciar meu sistema?

Como uma solução temporária, você pode configurar RLIMIT_STACK e RLIMIT_AS rígidos de seus usuários locais e serviços remotos para valores razoavelmente baixos. Utilize esta solução alternativa por sua conta e risco, no entanto: provavelmente seus limites não serão baixos o suficiente para resistir a todos os ataques (por exemplo, em alguns casos, nossa exploração de choque de pilha de Sudo aloca apenas 137 MB de memória de pilha e quase nenhuma memória de pilha); Ou seus limites serão muito baixos e quebrará as aplicações legítimas.

Onde posso encontrar as façanhas Stack Clash?

Eventualmente, publicaremos nossas façanhas e provas de conceito, mas não imediatamente: só o faremos depois que os usuários tiveram tempo suficiente para corrigir seus sistemas.

Onde posso obter mais informações?

Consulte o aviso de segurança do Stack Clash para obter os detalhes técnicos completos.

OU:

Consulte os avisos do fornecedor, que estamos listando aqui à medida que ficam disponíveis:

SUSE
https://www.novell.com/support/ kb / doc.php? Id = 7020973

chapéu vermelho
Https://access.redhat.com/ security / vulnerabilities / stackguard

Debian
https://www.debian.org/ security / 2017 / dsa-3886
https://www.debian.org/ security / 2017 / dsa-3887
https://www.debian.org/ security / 2017 / dsa-3888
https://www.debian.org/ security / 2017 / dsa-3889

Ubuntu
https://www.ubuntu.com/usn/

OpenBSD
Https://ftp.openbsd.org/pub/ OpenBSD / patches / 6.1 / common / 008_exec_subr.patch.sig

Oracle Solaris
http://www.oracle.com/ technetwork / security-advisory / alert-cve-2017-3629-3757403. Html

Quero escrever meu próprio recurso Stack Clash, por onde eu começo?

Você deve tentar implementar a vulnerabilidade da raiz local contra o Exim no i386 Debian: é, de longe, o mais fácil e mais representativo recurso Stack Clash.

A vulnerabilidade de Sudo Qualys é publicada em 30 de maio em relação ao Stack Choque?

https://www.qualys.com/2017/06/14/cve-2017-1000367/cve-2017-1000367.txt https://www.qualys.com/2017/06/14/cve-2017-1000367 /linux_sudo_cve-2017-1000367.c

Se o CVE-2017-1000367 for combinado com o Stack Clash, qualquer usuário local (não apenas Sudoers) pode explorar Sudo para obter privilégios de root completos em qualquer sistema Linux vulnerável (não apenas sistemas SELinux). Como o CVE-2017-1000367 foi explorável independentemente do Choque de Pilhas, nós (e os fornecedores afetados) decidiram não aguardar a Data de Libertação Coordenada de 19 de junho e publicá-la em 30 de maio.

Anúncios