本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。
Dirty Pipe是一个本地权限提升漏洞,标记为CVE-2022-0847,是由IONOS的软件工程师Max Kellermann发现的。该漏洞允许黑客覆盖任何只读文件,由于它涉及到行程间通信机制Pipe,使得Kellermann把它称为Dirty Pipe漏洞,并说它比2016年出现的Dirty Cow(CVE-2016-5195)漏洞还容易开采。本文为漏洞分析师提供了检测Linux内核中Dirty Pipe(脏管道)的指南。
此漏洞存在于Linux内核中,并利用了Linux内核内存管理中的漏洞,存在于管道页面缓存合并和覆盖其他页面缓存的方式中。此漏洞很容易被利用,并允许低特权用户在主机上升级到root特权,同时还附带各种公开的概念验证漏洞。
攻击者可以利用此缺陷写入只读文件页面缓存中的页面,还可以通过执行其代码以提升其在系统上的权限。
检测方法
1. 日志审查
利用主机上与身份验证相关的事件,根据对“/var/log/auth.log”的观察结果推断出可疑活动。成功利用此漏洞会创建以下可被检测到的系统日志。但是要注意,在某些情况下,利用此漏洞不会在日志中留下任何痕迹。
2. 反恶意软件
利用漏洞的情况也会被实时的行为监控软件捕获。
3. 活动监控
检测进程、文件和网络中的可疑活动。
结论
试图防止威胁参与者利用Dirty Pipe漏洞的安全团队必须注意以下几点:
-
事件响应者可以在“/var/log/auth.log”中搜索以下字符串:"(to root)on none"。系统中的任何用户都能够检测到可能存在的漏洞利用。
-
通过加密采矿、恶意软件感染或网络间谍活动在企业系统中建立立足点的恶意行为者,可能会利用此漏洞帮助其获取根访问权限。
-
有许多方法可以利用此漏洞而不在auth.log中留下任何痕迹。因此,我们建议安全团队尽快应用必要的补丁,并启用所有适用的解决方案来检测和阻止漏洞利用行为。
原文链接:
https://www.trendmicro.com/en_us/research/22/d/detecting-exploitation-of-local-vulnerabilities-through-trend-mi.html
原文始发于微信公众号(数据安全与取证):Linux内核最新高危漏洞Dirty Pipe(脏管道)检测指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论