Bindecy研究人员指出,去年在Linux系统中发现的“脏奶牛”漏洞(CVE-2016-5195)并未得到完全修复。
不完整的“脏奶牛”修复补丁 “脏奶牛”漏洞源自Linux内核中的内存子系统在处理私有只读内存映射的写时拷贝(简称COW,即‘奶牛’的由来)时,会因争夺而引发破坏性结果。漏洞发现者菲尔·奥斯特(Phil Oester)意识到,黑客可以使用这个缺陷来获得对其它只读存储器映射的写入访问,从而增加它们在系统上的特权。 此项安全漏洞随后还被发现会影响到Android系统,甚至可能会脱离容器控制。而且在谷歌方面发布漏洞修复补丁后不久,攻击者就设计出了新的、能够利用Android缺陷的脏奶牛攻击手段。 今年9月,研究人员们发现了利用该漏洞的最新恶意软件家族。 Bindecy方面指出,“脏奶牛”漏洞是目前公布的最具知名度的安全漏洞之一,且会对过去十年来包括Android在内的一切Linux版本造成影响,因此所对应的修复补丁一直受到高度关注。也正因为如此,在补丁发布的一年多之后,仍然鲜有人意识到其并不完整。
回顾“脏奶牛”漏洞 原本的安全漏洞会影响到get_user_page函数,其被用于获取用户进程内虚拟地址之后的物理页。基本上,该bug允许攻击者向只读权限页版本中写入内容。 此项安全漏洞的修复补丁并不会降低所请求的权限。相反,研究人员们解释称“get_user_page如今会记住我们通过了COW循环的事实。” 因此,在下一次迭代时,则只读页仅在指定有FOLL_FORCE 与FOLL_COW标记,且PTE被标记为dirty的情况下方可接受写入操作。 安全研究人员们指出,问题在于该补丁“设定某页的只读高受限复制永远不会被标记为dirty的PTE所指定。”
透明巨大页内存管理(THP) Bindecy研究人员发现,该安全漏洞目前仍会影响到透明巨大页(Transparent Huge Pages,简称THP,是一种Linux内存管理系统,可以通过使用更大的内存页来减少对带有大量内存的机器Translation Lookaside Buffer (TLB)的开销。)与页中目录(简称PMD,属于PTE层上的一层)。 尽管Linux通常会使用4096字节长度的页,但THP的长度往往可以达到2 MB——不过后者会经过拆分以保持正常页长度。一般来讲,默认THP支持仅被用于匿名映射,并可以在系统运行时进行开启或关闭。 THP的实现源自启用PMD中的_PAGE_PS bit,如此一来PMD中的结果将会指向一个2 MB的物理页,而非PTE目录。 研究人员们发现,脏奶牛补丁代码实际上处理的是包含有can_follow_write_pmd函数的THP,而其基本逻辑类似于指向巨大PMD的can_follow_write_pte。 但根据研究人员们的说法,对于巨大PMD,问题在于“未通过COW循环的页同样可以利用touch_pmd函数被标记为dirty。”每当get_user_page尝试获取一个巨大页,该页中的一条被调用函数结果就会被标记为dirty,而无需真正通过COW循环。因此,can_follow_write_pmd的逻辑将无法成立。 Bindecy研究人员指出,“在这种情况下,攻击者能够轻松利用这项bug——可以使用与原本脏奶牛攻击类似的手段。这一次,在回避目标页的复制版本后,需要对原始页进行两次处理——第一次使其存在,第二次启动其dirty bit。”
POC 安全研究人员们透露了几种漏洞利用场景,并发布了一项概念验证方案以展示利用方法。他们还于上周将此项安全漏洞(编号为CVE-2017-1000405)发送至内核与发行版邮件联系人列表,同时提交了由其开发的补丁。
研究人员们总结称,“此项bug再次重申了补丁审计在安全开发生命周期当中的重要性。由于脏奶牛以及其它以往案例的存在,可以发现即使是高关注度漏洞也可能得不到完善的补丁修复。这种情况不仅出现在闭源软件层面,开源软件也同样会受到影响。” |