• 23 de junho de 2017

Grave vulnerabilidade de sistema operacional permite escalada de privilégios e põe em risco servidores no mundo todo

A vulnerabilidade “Stack Clash” impõe riscos ao Linux, FreeBSD, OpenBSD e outros sistemas operacionais.

Uma gama de sistemas operacionais baseados em Unix – incluindo Linux, OpenBSD e FreeBSD – contém falhas que permitem que invasores, que normalmente se usurpam de credenciais de baixos privilégios ao cometerem uma invasão, alterem seus privilégios para o mais elevado possível (root).

Especialistas em segurança aconselham administradores a instalarem patches e tomarem outras ações de proteção o mais rápido possível.

Stack Clash, como esta vulnerabilidade está sendo chamada, está possívelmente atrelada a outras vulnerabilidades de forma a torná-las ainda mais eficientes ao executar códigos maliciosos. Pesquisadores da Qualys, empresa de segurança que descobriu as vulnerabilidades, afirmaram em um blog publicado na segunda-feira. (https://blog.qualys.com/securitylabs/2017/06/19/the-stack-clash). Tais vulnerabilidades de escalada de privilégios impõem graves ameaças aos provedores de hospedagem, que normalmente possuem seus servidores compartilhados entre clientes – portanto, um cliente pode ter sua vulnerabilidade explorada, permitindo que o controle de processos seja executado em outros clientes no mesmo servidor.

Trata-se de uma forma bastante objetiva de obter acesso root, uma vez que um infiltrado já possui acessos de nível de usuário comum. O ataque consiste em fazer com que uma região da memória do computador conhecida como “stack” (ou pilha) colida com regiões separadas de memória que armazenam códigos/dados não-relacionados. Não se trata de um novo conceito, mas esta exploração de vulnerabilidade, em específico, é algo definitivamente novo.

Desenvolvedores dos sistemas operacionais afetados estão no processo de lançarem correções. Um artigo publicado na manhã desta segunda-feira pela distribuidora Red Ha, disse que as mitigações talvez causem problemas de desempenho ao “sobrescrever valores em /proc/meminfo”, mas não devem afetar operações normais. Os desenvolvedores devem lançar correções para este problemas em breve. Um representante da Qualys disse que pesquisadores da empresa trabalharam com os desenvolvedores do FreeBSD, NetBSD, OpenBSD, Solaris e as principais distribuições Linux incluindo RedHat e SuSE, Debian e Ubuntu. Os produtos Apple e Microsoft não tiveram seus produtos investigados, mas ambas empresas foram contatadas para que possam investigar. O efeito desta vulnerabilidade no sistema operacional Google Android ainda não está claro.

A pilha de um sistema operacional é um pedaço de memória que cresce e diminui dependendo das aplicações e funções executadas em um determinado momento. Caso a pilha se expanda demais, ela pode chegar próxima de outras regiões da memória, permitindo com que os atacantes sobrescrevam a pilhas próximas à essas regiões e vice-versa. Esta vulnerabilidade foi batizada de “Stack Clash” já que a primeira etapa de sua exploração é justamente colidir a pilha da memória com outras regiões.

Ainda não foi resolvido

Vulnerabilidades baseadas em Stack Clash ganharam popularidade em 2005 através das descobertas do pesquisador de segurança Gaël Delalleau (https://cansecwest.com/core05/memory_vulns_delalleau.pdf) e cinco anos depois, com o lançamento de uma vulnerabilidade de Linux pelo pesquisador Rafal Wojtczuk (http://invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf). Desenvolvedores Linux introduziram uma proteção (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-2240) que pretendia previnir estes tipos de ataques. No entanto, pesquisas mais atuais demonstram que é relativamente fácil para que atacantes burlem esta medida.

A prova de conceito de ataque primária foi desenvolvida pela Qualys e explora uma vulnerabilidade indexada como CVE-2017-1000364. Os pesquisadores da Qualys também desenvolveram ataques que utilizam Stack Clash para explorar vulnerabilidades separadas, incluindo CVE-2017-1000365 e CVE-2017-1000367. Por exemplo, quando uma exploração foi combinada com a vulnerabilidade CVE-2017-1000367, uma falha recentemente corrigida no comando Sudo (também descoberta pela Qualys), usuários locais exploravam este comando para obter credenciais administrativas completas em uma vasta gama de sistemas operacionais. A Qualys, até o momento, ainda não conseguiu fazer os exploits executarem código remoto. A única aplicação remota investigada foi o servidor de e-mail Exim, que coincidentemente se demonstrou vulnerável. A Qualys afirma ainda que não pode descartar a possibilidade que tal vulnerabilidade que permita a execução remota de códigos exista e que irá lançar novos exploits provas de conceito em um futuro breve, quando todos tiverem tempo para se proteger destas vulnerabilidades.

Qualquer indivíduo ou empresa que utiliza sistemas operacionais baseados em Unix devem verificar com seus administradores imediatamentes para saber se há uma patch ou algum conselho de segurança disponível. No momento, a melhor aposta consiste em instalar uma patch (caso disponível) ou ainda uma medida temporária como definir os limites RLIMIT_STACK e RLIMIT_AS. (https://linux.die.net/man/2/setrlimit) de usuários locais e remotos para um valor baixo. Maiores informações estarão disponíveis pela Qualys (https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt) e na análise técnica da grsecurity. (https://grsecurity.net/an_ancient_kernel_hole_is_not_closed.php)

Fonte: ARS Technica

Deixe um comentário sobre o post