Nouvelle faille d'exploitation du noyau : contournement du correctif modprobe_path avec AF_ALG
Cet article de blog de recherche en sécurité décrit une nouvelle méthode pour exploiter la technique modprobe_path, en contournant un correctif fusionné dans le noyau Upstream l'année dernière. Ce correctif a rendu inefficace la méthode précédente consistant à déclencher modprobe_path en exécutant des fichiers factices. La nouvelle méthode utilise les sockets AF_ALG. En appelant bind(), elle déclenche request_module(), permettant l'exécution du fichier pointé par modprobe_path, ce qui entraîne une élévation de privilèges. Combinée à la technique memfd_create() de lau, cela donne une exploitation totalement sans fichier, réduisant ainsi les risques de détection. Le correctif n'a pas encore été intégré aux versions stables du noyau, donc l'ancienne méthode fonctionne toujours ; cependant, la méthode AF_ALG sera cruciale à l'avenir.