طريقة جديدة لاستغلال ثغرة في نواة النظام: تجاوز التصحيح modprobe_path باستخدام AF_ALG
2025-03-19
تتناول هذه المدونة البحثية المتعلقة بالأمن طريقة جديدة لاستغلال تقنية modprobe_path، متجاوزة التصحيح الذي تم دمجه في نواة Upstream العام الماضي. هذا التصحيح جعل الطريقة السابقة لتشغيل modprobe_path عن طريق تنفيذ ملفات وهمية غير فعالة. تستخدم الطريقة الجديدة مقابس AF_ALG. من خلال استدعاء bind()، يتم تشغيل request_module()، مما يسمح بتنفيذ الملف الذي يشير إليه modprobe_path، مما يؤدي إلى رفع امتيازات. عند دمجه مع تقنية memfd_create() الخاصة بـ lau، ينتج عن ذلك استغلال بدون ملفات تمامًا، مما يقلل من فرصة الاكتشاف. لم يتم بعد دمج التصحيح في إصدارات النواة المستقرة، لذا لا تزال الطريقة القديمة تعمل؛ ومع ذلك، ستكون طريقة AF_ALG حاسمة في المستقبل.
اقرأ المزيد
التطوير
رفع امتيازات