mer. Oct 5th, 2022

Une vulnérabilité vieille de 8 ans a été trouvée dans le noyau Linux, nommée d’après l’ancienne vulnérabilité du canal sale : DirtyCred

La nouvelle vulnérabilité, également surnommée DirtyCred par certains universitaires, utilise un bogue jusque-là inconnu (CVE-2022-2588) pour élever les privilèges d’accès au plus haut niveau.

DirtyCred exploite la réutilisation de la mémoire dynamique dans le noyau pour obtenir des privilèges d’accès, et ce faisant, la vulnérabilité remplace les informations d’identification non autorisées par des informations légitimes, augmentant ainsi les privilèges.

Le processus

La vulnérabilité exploite trois étapes :

  • Partager des informations d’identification non autorisées utilisées avec la vulnérabilité
  • Canalisez les informations d’identification autorisées pour libérer de la mémoire en engendrant un processus lié à un espace utilisateur autorisé, par exemple, les processus sont : su, mount, sshd
  • Agir en tant qu’utilisateur autorisé

Ce type d’exploitation de faille rappelle la vulnérabilité DirtyPipe. La nouvelle vulnérabilité est beaucoup plus puissante et générale, car ces attaquants peuvent l’exploiter sur n’importe quel noyau affecté.

Selon les chercheurs, deux fonctionnalités rendent DirtyCred si performant :

  • Cette méthode permet à toute autre vulnérabilité qui expose une ressource plus d’une fois d’avoir des propriétés de type DirtyPipe
  • Cette vulnérabilité, comme DirtyPipe, peut contourner toute protection du noyau et même s’échapper du conteneur

Mesures contre la vulnérabilité

Sur les dérivés Linux traditionnels, les objets sont isolés par leurs types, et non par les autorisations. Selon les chercheurs, il est donc conseillé d’isoler les données de connexion autorisées des personnes non autorisées à l’aide de la mémoire virtuelle.

DirtyPipe (CVE-2022-0847) était une vulnérabilité affectant les noyaux Linux et corrigée dans les versions Linux 5.16.11, 5.15.25 et 5.10.102. Dirty Pipe nommé d’après la vulnérabilité Dirty COW (Copie à droite) découverte en 2016. Selon Red Hat Linux 8 et 9 de la version Red Hat Enterprise, la nouvelle vulnérabilité est affectée. Bien sûr, la question se pose de savoir quand la prochaine mise à jour apparaîtra pour corriger cette vulnérabilité.

Voir aussi  HomeLand Justice : cyberattaque majeure contre l'Albanie

L’accès indésirable permet aux attaquants d’accéder et de compromettre le système. Cela signifie que les attaquants peuvent exécuter n’importe quel code dans le noyau et ainsi prendre le contrôle de l’ensemble du système. Une telle prise de contrôle ne peut généralement être déterminée qu’après coup, c’est pourquoi il est d’autant plus important d’empêcher une attaque réussie, voir les mesures ci-dessus.