Nueva Explotación de Kernel: Evitando el Parche modprobe_path con AF_ALG
Esta publicación de blog de investigación de seguridad describe un nuevo método para explotar la técnica modprobe_path, eludiendo un parche fusionado en el kernel Upstream el año pasado. Este parche hizo ineficaz el método anterior de activar modprobe_path ejecutando archivos ficticios. El nuevo método utiliza sockets AF_ALG. Al llamar a bind(), se activa request_module(), permitiendo la ejecución del archivo apuntado por modprobe_path, logrando la escalada de privilegios. Combinado con la técnica memfd_create() de lau, esto resulta en una explotación totalmente sin archivos, reduciendo la posibilidad de detección. El parche aún no ha llegado a las versiones estables del kernel, por lo que el método anterior sigue funcionando; sin embargo, el método AF_ALG será crucial en el futuro.