Un bogue de Linux eBPF permet d’obtenir des privilèges root sur Ubuntu

0

Un chercheur en sécurité a publié un code d’exploitation pour une vulnérabilité de haute gravité dans le noyau Linux eBPF (Extended Berkeley Packet Filter) qui peut donner à un attaquant des privilèges accrus sur les machines Ubuntu.

Le bogue est identifié comme CVE-2021-3490. Il a été divulgué en Mai et constitue une élévation de privilèges. Son utilisation nécessite donc un accès local sur la machine cible.

eBPF est une technologie qui permet aux programmes fournis par l’utilisateur de s’exécuter en sandbox dans le noyau du système d’exploitation, déclenché par un événement ou une fonction spécifique (par exemple, un appel système, des événements réseau).

Déni de service également possible

Manfred Paul de l’équipe RedRocket CTF travaillant avec l’initiative Zero Day de Trend Micro a signalé le bogue. Ils ont découvert que CVE-2021-3490 pouvait être transformé en lectures et écritures hors limites dans le noyau.

Le problème réside dans le fait que les programmes fournis par l’utilisateur ne passent pas par un processus de validation approprié avant d’être exécutés. S’il est correctement exploité, un attaquant local pourrait obtenir les privilèges du noyau pour exécuter du code arbitraire sur la machine.

Dans un article de blog, le développeur d’exploits Valentina Palmiotti, décrit les détails techniques derrière CVE-2021-3490 et son exploitation sur les versions à court terme d’Ubuntu 20.10 (Groovy Gorilla) et 21.04 (Hirsute Hippo).

Palmiotti est un chercheur principal en sécurité chez Grapl, une entreprise qui propose une plate-forme graphique pour la détection et la réponse aux incidents.

Ses recherches sur ce bogue couvrent également les spécificités du déclenchement de la vulnérabilité pour l’exploiter pour des privilèges élevés et pour créer une condition de déni de service (DoS) sur le système cible en verrouillant tous les threads du noyau disponibles.

Le chercheur a créé un code d’exploitation de preuve de concept pour CVE-2021-3490 et l’a publié sur GitHub. Une vidéo démontrant la validité de l’exploit est disponible ci-dessous:

Plus tôt cette année, Microsoft a annoncé un nouveau projet open source appelé ebpf-for-windows qui permet aux développeurs d’utiliser la technologie eBPF sur Windows.

Ceci serait réalisé en ajoutant une couche de compatibilité pour les projets eBPF existants afin qu’ils puissent fonctionner en tant que sous-modules dans Windows 10 et Windows Server.

Le portage d’eBPF vers Windows est encore un projet précoce qui a beaucoup de développement à venir. Les recherches de Palmiotti sur CVE-2021-3490 se sont limitées à l’implémentation de Linux. Le chercheur a déclaré qu’à cause de cela, son exploit ne fonctionnerait pas sous Windows sous sa forme actuelle.

La preuve de concept est conçu pour les noyaux Groovy Gorilla 5.8.0-25.26 à 5.8.0-52.58 et le noyau Hirsute Hippo version 5.11.0-16.17. Des correctifs ont été publiés pour les deux versions d’Ubuntu.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire