Uma vulnerabilidade recentemente corrigida no sistema operativo Linux conta agora com um código de exploração público. Esta falha permite que atacantes locais ganhem privilégios de administrador nos sistemas Arch Linux, conforme demonstrado e partilhado pelo especialista Will Dormann.
O perigo por trás da vulnerabilidade PinTheft
Batizada de PinTheft pela equipa de segurança V12, a vulnerabilidade ainda aguarda a atribuição de um identificador CVE para facilitar o seu rastreamento. O problema reside no componente RDS (Reliable Datagram Sockets) do kernel e foi resolvido no início deste mês. A equipa V12 explica que a falha ocorre no caminho de envio do RDS, onde erros na gestão da memória permitem que um atacante manipule o sistema para obter acesso a uma linha de comandos com permissões root. A equipa divulgou uma prova de conceito que mostra exatamente como essa manipulação é feita, aproveitando as falhas para roubar referências até obter o controlo total.
Condições restritas e como proteger o sistema
Apesar da gravidade, a execução bem-sucedida do ataque exige condições muito específicas. Para além de o módulo RDS ter de estar carregado no sistema alvo, é necessário que a interface I/O do sistema esteja ativada, exista um binário SUID-root legível e que haja suporte x86_64 para o código malicioso. Isto reduz drasticamente a superfície de ataque. Segundo a V12, o módulo RDS apenas vem ativado por predefinição no Arch Linux, entre as distribuições mais comuns testadas.
Para os utilizadores que não podem aplicar a mais recente atualização do kernel de imediato, é recomendado bloquear o módulo através da sua remoção e de alterações nas configurações de arranque para evitar qualquer tentativa de exploração.
Este caso surge no seguimento de uma onda de outras vulnerabilidades de elevação de privilégios locais descobertas nas últimas semanas. Durante o fim de semana, investigadores lançaram códigos de exploração para falhas como a DirtyDecrypt e a DirtyCBC, que partilham a mesma classe de vulnerabilidade de outros problemas conhecidos como Dirty Frag, Fragnesia e Copy Fail. Algumas destas falhas, como a Copy Fail, já estão a ser ativamente exploradas em ataques reais, o que levou a agência norte-americana CISA a adicioná-la à sua lista de ameaças ativas no dia 1 de maio, ordenando às agências governamentais que protegessem os seus sistemas no prazo de duas semanas. No mês passado, as distribuições lançaram também correções para a falha Pack2TheRoot, que tinha passado despercebida durante mais de uma década.
Nenhum comentário
Seja o primeiro!