Neue Kernel-Exploit-Methode: Umgehung des modprobe_path-Patches mit AF_ALG
Dieser Sicherheitsforschungs-Blogbeitrag beschreibt eine neue Methode zur Ausnutzung der modprobe_path-Technik, die einen im letzten Jahr in den Upstream-Kernel integrierten Patch umgeht. Dieser Patch machte die vorherige Methode zum Auslösen von modprobe_path durch Ausführen von Dummy-Dateien unwirksam. Die neue Methode verwendet AF_ALG-Sockets. Durch Aufrufen von bind() wird request_module() ausgelöst, wodurch die Ausführung der von modprobe_path referenzierten Datei ermöglicht wird und eine Rechteerhöhung erreicht wird. In Kombination mit laus memfd_create()-Technik ergibt sich eine vollständig dateilose Exploit-Methode, wodurch die Wahrscheinlichkeit einer Erkennung verringert wird. Der Patch wurde noch nicht in die stabilen Kernel-Versionen zurückportiert, daher funktioniert die alte Methode weiterhin. Die AF_ALG-Methode wird jedoch in Zukunft entscheidend sein.