Une vulnérabilité vieille de 8 ans a été trouvée dans le noyau Linux, nommée d’après l’ancienne vulnérabilité du canal sale : DirtyCred
La nouvelle vulnérabilité, également surnommée DirtyCred par certains universitaires, utilise un bogue jusque-là inconnu (CVE-2022-2588) pour élever les privilèges d’accès au plus haut niveau.
DirtyCred exploite la réutilisation de la mémoire dynamique dans le noyau pour obtenir des privilèges d’accès, et ce faisant, la vulnérabilité remplace les informations d’identification non autorisées par des informations légitimes, augmentant ainsi les privilèges.
Le processus
La vulnérabilité exploite trois étapes :
- Partager des informations d’identification non autorisées utilisées avec la vulnérabilité
- Canalisez les informations d’identification autorisées pour libérer de la mémoire en engendrant un processus lié à un espace utilisateur autorisé, par exemple, les processus sont : su, mount, sshd
- Agir en tant qu’utilisateur autorisé
Ce type d’exploitation de faille rappelle la vulnérabilité DirtyPipe. La nouvelle vulnérabilité est beaucoup plus puissante et générale, car ces attaquants peuvent l’exploiter sur n’importe quel noyau affecté.
Selon les chercheurs, deux fonctionnalités rendent DirtyCred si performant :
- Cette méthode permet à toute autre vulnérabilité qui expose une ressource plus d’une fois d’avoir des propriétés de type DirtyPipe
- Cette vulnérabilité, comme DirtyPipe, peut contourner toute protection du noyau et même s’échapper du conteneur
Mesures contre la vulnérabilité
Sur les dérivés Linux traditionnels, les objets sont isolés par leurs types, et non par les autorisations. Selon les chercheurs, il est donc conseillé d’isoler les données de connexion autorisées des personnes non autorisées à l’aide de la mémoire virtuelle.
DirtyPipe (CVE-2022-0847) était une vulnérabilité affectant les noyaux Linux et corrigée dans les versions Linux 5.16.11, 5.15.25 et 5.10.102. Dirty Pipe nommé d’après la vulnérabilité Dirty COW (Copie à droite) découverte en 2016. Selon Red Hat Linux 8 et 9 de la version Red Hat Enterprise, la nouvelle vulnérabilité est affectée. Bien sûr, la question se pose de savoir quand la prochaine mise à jour apparaîtra pour corriger cette vulnérabilité.
L’accès indésirable permet aux attaquants d’accéder et de compromettre le système. Cela signifie que les attaquants peuvent exécuter n’importe quel code dans le noyau et ainsi prendre le contrôle de l’ensemble du système. Une telle prise de contrôle ne peut généralement être déterminée qu’après coup, c’est pourquoi il est d’autant plus important d’empêcher une attaque réussie, voir les mesures ci-dessus.