Nova Exploração de Kernel: Contornando a Correção modprobe_path com AF_ALG
Este post de blog de pesquisa de segurança descreve um novo método para explorar a técnica modprobe_path, contornando uma correção mesclada ao kernel Upstream no ano passado. Essa correção tornou ineficaz o método anterior de disparar modprobe_path executando arquivos fictícios. O novo método utiliza sockets AF_ALG. Ao chamar bind(), ele dispara request_module(), permitindo a execução do arquivo apontado por modprobe_path, alcançando elevação de privilégios. Combinado com a técnica memfd_create() de lau, isso resulta em uma exploração totalmente sem arquivos, reduzindo a chance de detecção. A correção ainda não chegou às versões estáveis do kernel, portanto, o método antigo ainda funciona; no entanto, o método AF_ALG será crucial no futuro.
Leia mais