Encuentran falla en el parche para Dirty COW
Una falla en el parche original de la famosa vulnerabilidad Dirty COW podría permitir a un atacante ejecutar código de manera local en los sistemas afectados y explotar una condición de carrera para realizar ataques para escalar privilegios.
La falla en el parche Dirty COW (CVE-2016-5195), liberado en octubre de 2016, fue identificada por los investigadores de la firma de seguridad Bindecy. El miércoles, ellos liberaron detalles de la vulnerabilidad (CVE-2017-1000405) encontrando en el parche original de Dirty COW, afectando a diversas distribuciones Linux.
El alcance de los productos afectados es significativamente menor que el bug original Dirty COW, el cual impactó más distribuciones Linux y el sistema operativo Android.
“En términos de alcance, las diferencias es que solamente el bug actual no es aplicable a Android y Red Hat Enterprise Linux. Todas las distribuciones restantes Ubuntu, Fedora, SUSE, padecen este problema. Entonces el alcance es aún grande. Estimamos que millones de equipos son vulnerables,” Dijo Daniel Shapiro, investigador en Bindecy, acreditado por encontrar la falla junto a su colega Eylon Ben Yaakov.
La vulnerabilidad CVE-2017-1000405 está catalogada como “importante” y tiene una puntuación de 6.1 en la escala CVSS.
Red Hat Software notifico a sus clientes del parche defectuoso en martes, señalando que el problema no afecta los paquetes del Kernel de Linux suministrado con Red Hat Enterprise Linux 5, 6, 7 y Red Hat Enterprise MRG 2, de acuerdo con el portal de Red Hat.
Dirty COW fue parchado en octubre de 2016 después de ser descubierto en exploits públicos. La vulnerabilidad fue encontrada en la característica copy-on-write(COW) de Linux y podría ser usada por un atacante con acceso local para obtener privilegios de root en un dispositivo Linux o Android.
La falla, la cual fue introducida en 2007 en la versión 2.6.22 del kernel, permite a un atacante ganar privilegios tomando ventaja de la condición de carrera y obtener acceso de escritura en zonas de memoria de solo lectura.
La falla permite a un atacante con una cuenta local del sistema modificar binarios del disco, evitando mecanismos estándar de permisos que prevendrían la modificación sin los permisos apropiadamente establecidos.
Copy-on-write maneja los recursos de la memoria y permite a más de un proceso compartir una página hasta que el usuario escribe en ella, conocido en programación como hacer paginación sucia. La vulnerabilidad permite a un atacante explotar la condición de carrera para escribir una página original antes de que se marque como sucia.
El parche de octubre de 2016 trataba la vulnerabilidad de Dirty COW para ambas, páginas regulares y páginas transparentes enormes (soportado a partir del Kernel 2.6.38), de acuerdo con Shapiro.
“Hay un flujo de código que no fue tomado en cuenta que rompe con la lógica del parche para páginas transparentes enormes,” dijo.
“En la vulnerabilidad original el exploit apuntaba a las páginas utilizadas por archivos de solo lectura, cin el nuevo bug podemos escribir en una página enorme especia de solo lectura llamada ‘zero page’. Se asume que es inicializada con ceros y algunos softwares caen en la asunción (incluyendo procesos privilegiados),” dijo Shapiro.
Una descripción más detallada de la falla puede ser encontrada aquí en un escrito técnico realizado por Yaakov.