CVE-2024-50264 olarak izlenen Linux çekirdeğinin kullanımı (UAF) güvenlik açığı için yeni bir sömürü yöntemi keşfedilmiştir.
Güvenlik açığı, karmaşıklığı ve Major Linux dağıtımları üzerindeki etkisi nedeniyle en iyi ayrıcalık artışı için PWNIE Ödülü 2025’e verildi.
Araştırmacılar, çekirdek slab tahsisatını ve yarış koşulu korumalarını atlamak için yenilikçi teknikler geliştirdi ve bu da sömürüyü daha önce inanılandan çok daha uygulanabilir hale getirdi.
UAF güvenlik açığı arka planı
CVE-2024-50264, 4.8 sürümünden beri Linux çekirdeklerinde bulunan AF_VSOCK alt sisteminde bir yarış koşuludur.
Hata, perdaşsız bir saldırganın soket bağlantı işlemleri sırasında virtio_vsock_sock nesnesindeki içermeyen bir senaryoyu tetiklemesine izin verir.
Bu, kullanıcı ad alanı ayrıcalıkları olmadan ortaya çıkabilir, bu da kusuru son derece tehlikeli hale getirir. Sömürü, randomize levha önbellekleri ve slab kovaları gibi çekirdek sertleşmesi nedeniyle zorlayıcıdır, bu da saf yığın püskürtme ve çapraz önbellek saldırılarını bozar.
Çığır açan istismar teknikleri
Atılım, Linux çekirdek istismarları için açık kaynaklı bir test ortamı olan çekirdek-hack-drill kullanmaktan geldi.
Yeni saldırı yöntemi, birkaç gelişmiş sömürü ilkelini birleştirir:
- Korunmasız Connect () Syscall’ı, istismar sürecini öldürmeden yarış koşulunu güvenilir bir şekilde tetiklemek için “ölümsüz” bir POSIX sinyali ile kesintiye uğratın.
- Çapraz önbellek tahsisi ile serbest bırakılan nesneleri geri kazanmak için levere, çekirdeğin, sürdürmeyi kullandığı savunmasız nesnelerin bulunduğu saldırgan kontrollü yapıları tahsis etmeye zorlamak için zamanlamayı dikkatlice manipüle etmek.
- Bilgi sızıntıları ve keyfi adres okuma/yazma için msg_msg ve pipe_buffer gibi anahtar çekirdek nesnelerini bozma. Özellikle, istismar, bağlı olmayan çekirdek bellek okumaları elde etmek için mesaj kuyruk sistemini kötüye kullanır ve kimlik bilgileri gibi hassas işaretçileri çıkarır.
Bu yeni sömürü yöntemi, sertleştirilmiş çekirdeklerin bile yaratıcı sömürü stratejilerine duyarlı kaldığını göstermektedir.
Saldırganlar, nesne eşleştirmeyi atlamak ve savunmasız durumları hızla zorlamak için yarış koşulu hızlandırma tekniklerinden yararlanabilir.
Yöntem ayrıca, kirli boru ve kirli paget gibi tipik ayrıcalık artış taktiklerini daha kısıtlayıcı ortamlara uyarlar.
Sonuç olarak, sömürü yolu kolaylaştırılmıştır ve modern sistemlere başarılı saldırılar riskini artırır.
Güvenlik ekipleri, CVE-2024-50264’e acil bir yama ve çekirdek nesnesi sertleşmesinin gözden geçirilmesini gerektiren büyük bir tehdit olarak ele almalıdır.
Çekirdek-hack-drill projesi artık araştırmacıların çekirdek istismarlarını geliştirmeleri ve test etmesi için değerli bir araç seti sunuyor ve Linux içlerinde devam eden güvenlik mühendisliği ihtiyacını vurguluyor.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.