커널 취약점 이용 신기술: AF_ALG를 이용한 modprobe_path 패치 우회
2025-03-19
이 보안 연구 블로그 게시물에서는 작년에 업스트림 커널에 병합된 패치를 우회하는 modprobe_path 기법을 이용하는 새로운 방법을 자세히 설명합니다. 이 패치로 인해 더미 파일을 실행하여 modprobe_path를 트리거하는 이전 방법은 무효화되었습니다. 새로운 방법은 AF_ALG 소켓을 활용합니다. bind()를 호출하면 request_module()이 트리거되어 modprobe_path가 가리키는 파일의 실행이 가능해지고 권한 상승이 달성됩니다. lau의 memfd_create() 기법과 결합하면 완전히 파일이 없는 익스플로잇이 되어 탐지 가능성이 줄어듭니다. 이 패치는 아직 안정적인 커널 버전에 백포트되지 않았으므로 이전 방법은 여전히 작동합니다. 하지만 앞으로는 AF_ALG 방법이 중요해질 것입니다.
개발
커널 취약점 이용