L’esperto di sicurezza Phil Oester ha scoperto nel kernel di Linux una nuova falla, soprannominata DIRTY COW che può essere sfruttata da un attaccante locale del elevare i suoi privilegi.
Il nome DIRTY COW è dovuto al fatto che la falla è innescata da quello che si definisce tecnicamente Race Condition ovvero un condizione per cui il risultato finale dell’esecuzione dei processi dipende dalla loro temporizzazione. Qualunque alterazione della temporizzazione può produrre effetti indesiderati, portando il sistema affetto in uno stato non previsto che potrebbe essere causa di malfunzionamenti.
In questo caso la “condizione di competizione” risiede nel kernel di Linux, nel sottosistema che gestisce l’implementazione dei meccanismi di copy-on-write (COW) per l’ottimizzazione nella gestione delle risorse del sistema operativo.
Secondo l’avviso di sicurezza pubblicato da Red Hat, la vulnerabilità, tracciata come CVE-2016-5195 , consente agli aggressori di modificare i file setuid utilizzati per la gestione dei permessi di accesso alle risorse del sistema.
“Una condizione di competizione è stata trovata nel sottosistema di memoria del kernel di Linux che gestisce l’implementazione delle operazioni di (COW) copy-on-write” riporta l’advisory di sicurezza pubblicato da Red Hat.” Un utente locale senza privilegi potrebbe sfruttare questo difetto per ottenere l’accesso in scrittura in luogo di quello di sola lettura sulla memoria e quindi aumentare i propri privilegi sul sistema”.
“Questa falla potrebbe essere abusata da un utente malintenzionato per modificare i file setuid esistenti ed elevare i suoi privilegi. Un exploit che sfrutta tale falla è già stato identificato in rete”.
Red Hat ha anche confermato che gli attaccanti stanno utilizzando un exploit che sfrutta la falla DIRTY COW in attacchi osservati in rete contro sistemi Linux. La buona notizia è che è già disponibile una soluzione al problema e le distribuzioni di Linux hanno iniziato a rilasciare i necessari aggiornamenti.
C’è anche un aspetto curioso relativo alla falla DIRTY COW: i ricercatori che hanno scoperto la falla hanno lanciato una sorta di operazione di marketing sulla falla, creando un sito web, un logo e un account Twitter. E’ stato addirittura messo in piedi un negozio online che vende tazze con il logo “Dirty COW” e t-shirt.
Lasciatemi concludere con una delle domande nelle FAQ sessione del sito:
Può il mio antivirus rilevare o bloccare questo attacco?
“Anche se l’attacco può avvenire a diversi livelli, le principali aziende produttrici di antivirus possono sviluppare sistemi che rilevano DIRTY COW.”
I ricercatori hanno anche pubblicato il codice dell’exploit su GitHub.
Facebook Comments