• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    El parche para Dirty COW contiene fallos de seguridad
    04/12/2017
    =============================================
    CVE-2017-1000405
    Fecha de lanzamiento: 04/12/2017
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    El parche para la famosa vulnerabilidad Dirty COW contiene fallos de seguridad que pueden permitir a un atacante local sin privilegios de administrador escalar privilegios.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Dirty COW (Dirty copy-on-write) es una vulnerabilidad de seguridad informática para el kernel de Linux que afecta a todos los sistemas operativos basados en Linux, incluido Android. Es un error de escalamiento de privilegios local que explota una condición de carrera en la implementación del mecanismo de copiado en escritura en el subsistema de gestión de memoria del kernel.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    El año pasado se reportó una vulnerabilidad de Dirty COW en Linux que permitía la elevación de privilegios a través de la explotación de una condición de carrera en el subsistema de memoria. El fallo se producía al manejar ciertas operaciones 'copy-on-write' (de ahí su nombre, COW) de mapeos de memoria privada de solo lectura. Esto permitía a un atacante local sin privilegios obtener derechos de escritura en zonas de memoria de solo lectura.

    Para solventar esta condición de carrera, el parche correspondiente introducía una nueva variable (FOLL_COW) y la función 'can_follow_write_pte'. Sin embargo, la lógica de esta función puede ser alterada sin entrar en ciclos de 'copy-on-write' a través del uso de la función 'get_user_pages', que permite eludir la medida de seguridad, según investigadores de la empresa Bindecy.

    En consecuencia, todas las distribuciones de Linux cuyo kernel tenga por defecto activado el soporte para THP (Transparent Huge Pages) y donde se haya instalado el parche para Dirty COW son vulnerables a este nuevo ataque. Debido a esto en esta ocasión son menos los sistemas afectados: Quedan fuera de peligro Red Hat Enterprise Linux y Android, pero sí ha sido probado con éxito en Ubuntu 17.04 con kernel 4.10 y Fedora 27 con kernel 4.13.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Dirty COW (Dirty copy-on-write)

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Se ha sido publicado un parche que soluciona el problema, accesible en GitHub: https://github.com/bindecy/HugeDirtyCowPOC

    FUENTE
    --------------------------------------------------------------------------------

    https://hispasec.com/