Linux中的Stack Clash漏洞,可被黑客利用獲取本地root許可權
上個月,Qualys的安全研究人員在多種基於Unix的系統上發現名為「Stack Clash」的漏洞,該漏洞能讓攻擊者在UNIX系統上獲得root許可權,並接管這台受到攻擊的計算機。目前安全研究人員發現了這個缺陷,正與各種供應商合作,儘早發布修復程序。
據 Qualys 的研究人員介紹,這個問題影響了許多 UNIX 系統,如 Linux,OpenBSD,NetBSD,FreeBSD 和Solaris。研究人員僅測試了 i386 和 amd64 平台上的 Stack Clash,並且不排除其他供應商和平台也可能受到影響。
其實,這個問題早在 2005 年就曾首次發現過,隨後Linux引進了應對的保護機制(Stack guard page)。而現在的漏洞核心也依舊是自 2005 年以來已經知道問題,在經歷補丁修復後該問題在2010年再次發現並得到修補,如今第三次發現存在漏洞。
什麼是Stack Clash漏洞
這個問題主要涉及內存棧的概念:棧內存是應用程序在計算機 RAM 中執行代碼的內存區域。而隨著應用程序越變越大,內存區域也「水漲船高」。
現在問題在於,當一個棧內存增長得太多,以至於過於接近另一個程序的棧內存時,可能會出現混淆的問題。應用程序的棧內存接觸到堆內存時,如果攻擊者可以注入某些數據然後操作堆內存中的存儲信息,他就可以覆蓋部分堆棧並劫持應用程序中的執行流,相應地,甚至還可以接觸到更重要的數據結構。
從 2005 到 2010 年,再到 2017 年,研究人員發現已經可以通過堆棧中泄露的代碼來欺騙操作系統。目前,Qualys 研究員已經公開了漏洞的概念驗證,可以看到低層代碼能從惡意應用程序的內存堆棧跳轉到具有 root訪 問許可權的合法應用程序的內存區域。
在現在的研究中我們發現stack clash漏洞仍然可以被攻擊者利用,儘管現在有Stack guard page保護機制,我們仍然發現了多種利用方法,如下所示:
使棧內存與其他內存區域衝突:分配內存直至與其他區域衝突
繞過 stack guard-page機制:將棧指針從棧中移到其他內存區域中,但不要觸及stack guard-page
摧毀棧內存或其他內存區域:用另一個內存區域覆蓋原來的棧內存數據,或反過來覆蓋
漏洞影響
該研究團隊稱他們可以為製作出14個exploit及相應的概念驗證攻擊程序,針對Linux,OpenBSD,NetBSD,FreeBSD及Solaris系統。
而涉及的軟體程序則包括 Debian,Ubuntu 和 CentOS 上的 Sudo ;Debian上的 Exim ;Solaris 11上的 rsh 等等。Red Hat Enterprise Linux 5至7,Enterprise MRG 2.5 和 Virtualization 以及 RHEL Atomic Host 也受Stack Clash 影響。
後續研究
當然目前要實現這種攻擊的話,攻擊者需要本地訪問,遠程的攻擊方法還不清楚。現在利用這個漏洞的攻擊方法是經典的許可權提升(EoP)漏洞。由於EoP問題需要攻擊者已侵入到用戶系統中才能進行,一般情況下並不會認為是一個危險的問題。
Qualys 表示,他們會匯總各種操作系統上的 Stack Clash 的 PoC 漏洞,之後會一併公開。所有 PoC 都要求攻擊者具有本地訪問許可權,但研究人員不排除攻擊者可以從遠程位置(例如通過 HTTP 請求或 JavaScript 代碼)利用 Stack Clash 的某些情況。
系統供應商跟進
Red Hat 已經為 Stack Clash 漏洞發布了安全修補程序,Qualys 表示其他供應商也會很快跟進提供相應的補丁。
如果用戶無法更新,操作系統所有者可以將本地用戶和遠程服務的 RLIMIT_STACK 和 RLIMIT_AS 設置為低一些的數值。當然,這樣設置會導致應用程序的內存變小,因此無意中會對機器的性能產生一定的影響。
<點擊閱讀原文,查看原報告>
*參考來源:theregister,bleepingcomputer,Elaine編譯,轉載請註明FreeBuf.COM
※Nexus 9漏洞允許黑客通過耳機介面攻擊設備
※小到入侵蘋果手錶、大到入侵飛機,MOSEC大會幹貨議題全記錄
※遠程遙控IPTables進行埠復用
※CIA專攻物理隔離網路的工具「殘忍的袋鼠」曝光
TAG:FreeBuf |
※Spring Security 實現 antMatchers 配置路徑的動態獲取
※利用xxe漏洞獲取ntlm-domain-hashes 從而攻陷伺服器
※Canonical:可在Ubuntu軟體庫獲取Intel的最新微代碼補丁
※Tim Cook:蘋果從未通過 Facebook 獲取用戶數據
※Telegrab惡意軟體可以獲取Telegram的密碼、Cookie及密鑰文件
※怎麼做才能獲取Amazon s Choice?
※XamarinEssentials教程獲取首選項的值
※通過Password Vault的XSS漏洞獲取用戶密碼測試
※code值獲取內部枚舉類對象(自定義EnumUtil PackageUtil工具類)
※TinyShop緩存文件獲取WebShell之0day
※node+express+mongoDB寫簡單介面,Vue獲取介面
※滲透技巧——獲取Windows系統下DPAPI中的MasterKey
※抽籤啦!快來獲取你的 Off White x Vapormax 白色版本
※react 獲取input 輸入框的值
※不打開文件獲取名稱。Excel VBA Application對象GetOpenFilename方法教程
※從外部Active Directory獲取域管理員
※MechatroWeGo機器人玩具獲取動漫Tamago項目動漫
※Event-Stream被植入可獲取比特幣的惡意代碼
※Hackvertising:如何顛覆傳統營銷 獲取超級ROI?
※iPhone還需更安全:安全取證公司Cellebrite稱可獲取任何iOS系統版本中的數據