导 读
一种名为 SLUBStick 的新型 Linux 内核跨缓存攻击,将有限的堆漏洞转化为任意内存读写能力的成功率高达 99%,让研究人员能够提升权限或逃离容器。
该发现来自奥地利格拉茨技术大学的一组研究人员,他们演示了使用 32 位和 64 位系统中的 9 个现有 CVE 对 Linux 内核版本 5.9 和 6.2(最新版本)进行攻击,显示出很高的通用性。
此外,此次攻击可与所有现代内核防御措施(如监控模式执行保护 (SMEP)、监控模式访问保护 (SMAP) 和内核地址空间布局随机化 (KASLR))配合使用。
SLUBStick 将在本月晚些时候即将举行的Usenix 安全研讨会上进行详细介绍。
研究人员将展示在启用了最先进防御功能的最新 Linux 中如何实现权限提升和容器逃逸。
同时,发布的技术论文包含有关此次攻击和潜在利用场景的所有细节。
SLUBStick 详细信息
Linux 内核高效且安全地管理内存的一种方法是,为不同类型的数据结构分配和取消分配内存块(称为“slab”)。
此内存管理流程中的缺陷可能允许攻击者破坏或操纵数据结构,这称为跨缓存攻击。然而,这些攻击大约有 40% 的时间是有效的,并且通常迟早会导致系统崩溃。
SLUBStick 利用堆漏洞(例如双重释放、用户释放后或越界写入)来操纵内存分配过程。
研究人员实验中成功利用的 CVE,来源:stefangast.eu
接下来,它使用定时侧通道来确定内存块分配/释放的确切时刻,从而允许攻击者预测和控制内存重用。
使用这些时间信息可将跨更改利用的成功率提高到 99%,从而使 SLUBStick 非常实用。
测量成功率,来源:stefangast.eu
将堆漏洞转换为任意内存读写原语分为三个步骤:
-
释放特定的内存块并等待内核重新使用它们。
-
以可控的方式重新分配这些块,确保它们能够重新用于页表等关键数据结构。
-
一旦回收,攻击者就会覆盖页表条目,获得读取和写入任何内存位置的能力。
SLUBStick 概览,来源:stefangast.eu
现实世界的影响
与大多数涉及侧信道的攻击一样,SLUBStick 需要对具有代码执行能力的目标机器进行本地访问。此外,攻击需要 Linux 内核中存在堆漏洞,然后该漏洞将用于获取对内存的读写访问权限。
虽然这可能使攻击看起来不切实际,但它确实给攻击者带来了一些好处。
即使对于具有代码执行能力的攻击者,SLUBStick 也提供了实现权限提升、绕过内核防御、执行容器逃逸或将其用作复杂攻击链的一部分的能力。
权限提升可用于将权限提升到root,从而允许无限制的操作,而容器逃逸可用于突破沙盒环境并访问主机系统。
在后利用阶段,SLUBStick 可以修改内核结构或钩子以保持持久性,使恶意软件更难被防御者检测到。
篡改“/etc/passwd”数据,来源:stefangast.eu
想要深入研究 SLUBStick 并试验格拉茨大学研究人员使用的漏洞的人可以在研究人员的 GitHub 存储库(https://github.com/IAIK/SLUBStick)中找到它们。
新闻链接:
https://www.bleepingcomputer.com/news/security/linux-kernel-impacted-by-new-slubstick-cross-cache-attack/
今日安全资讯速递
APT事件
Advanced Persistent Threat
俄黑客组织 APT28 利用汽车销售钓鱼邮件攻击外交官
https://thehackernews.com/2024/08/apt28-targets-diplomats-with-headlace.html
与朝鲜有关的恶意软件瞄准 Windows、Linux 和 macOS 开发人员
https://thehackernews.com/2024/07/north-korea-linked-malware-targets.html
黑客利用 LODEINFO 和 NOOPDOOR 恶意软件攻击日本公司
https://thehackernews.com/2024/07/chinese-hackers-target-japanese-firms.html
网络间谍组织 XDSpy 瞄准俄罗斯和摩尔多瓦的公司
https://thehackernews.com/2024/07/cyber-espionage-group-xdspy-targets.html
网络犯罪分子利用 Agent Tesla 和 Formbook 恶意软件攻击波兰企业
https://thehackernews.com/2024/07/cybercriminals-target-polish-businesses.html
印度 SideWinder (响尾蛇)APT组织攻击地中海港口和海事设施
https://www.securityweek.com/indian-apt-targeting-mediterranean-ports-and-maritime-facilities/
亲乌克兰黑客声称对俄罗斯电视广播进行攻击
https://therecord.media/pro-ukraine-hackers-claim-hack-on-russian-tv-broadcasts
Mandiant 报告:朝鲜黑客组织 APT45 瞄准武器设计、核设施,并针对医疗机构进行勒索软件攻击
https://www.securityweek.com/mandiant-shines-spotlight-on-apt45-behind-north-koreas-digital-military-machine/
一名朝鲜黑客因对美国医院发动勒索软件攻击被指控
https://www.securityweek.com/north-korean-charged-in-ransomware-attacks-on-american-hospitals/
与白俄罗斯有关的黑客利用 PicassoLoader 恶意软件攻击乌克兰组织
https://therecord.media/belarus-ukraine-picasso-malware-ghostwriter
一般威胁事件
General Threat Incidents
13 个配置错误的数据库泄露数百万美国选民数据
https://hackread.com/millions-us-voter-data-exposed-misconfigured-databases/
攻击者滥用 CloudflareTryCloudflare 功能创建一次性隧道,以分发远程访问木马
https://www.securityweek.com/cloudflare-tunnels-abused-for-malware-delivery/
Mirai 僵尸网络瞄准易受目录遍历攻击的 OFBiz 服务器
https://thehackernews.com/2024/08/mirai-botnet-targeting-ofbiz-servers.html
黑客通过流行的开发者问答平台分发恶意 Python 软件包
https://thehackernews.com/2024/08/hackers-distributing-malicious-python.html
Facebook 上的虚假 AI 编辑器广告推送窃取密码的恶意软件
https://www.bleepingcomputer.com/news/security/fake-ai-editor-ads-on-facebook-push-password-stealing-malware/
假冒 Google Authenticator 应用正在传播恶意软件
https://www.timesnownews.com/technology-science/alert-fake-google-authenticator-app-distributing-malware-spotted-check-details-article-112213972
DNS 提供商未能正确验证域名所有权,攻击者在五年内劫持了超过 35,000 个域名
https://www.securityweek.com/over-35k-domains-hijacked-in-sitting-ducks-attacks/
BlankBot Android 木马窃取用户数据、执行 C&C 命令并支持自定义注入、键盘记录和屏幕录制
https://www.securityweek.com/new-blankbot-android-trojan-can-steal-user-data/
Deepfake 制作工具在暗网市场激增
https://www.msn.com/en-us/news/technology/deepfake-creation-tools-proliferate-on-darknet-markets/ar-BB1lAqbi
新的 Panamorfi DDoS 攻击利用了错误配置的 Jupyter Notebook
https://hackread.com/panamorfi-ddos-attack-misconfigured-jupyter-notebooks/
勒索软件组织声称对俄亥俄州哥伦布攻击事件负责,并出售 6TB 数据
https://www.nbc4i.com/news/local-news/columbus/ransomware-group-claims-columbus-attack-selling-6-terabytes-of-passwords-and-more/
勒索软件攻击导致印度 300 家银行支付系统瘫痪
https://www.indiatoday.in/world/story/indian-banks-ransomware-attacks-payment-systems-disrupted-upi-atm-service-provider-2574793-2024-08-01
五名中国人因“大规模”老年人诈骗案被美国联邦政府逮捕
https://therecord.media/elder-fraud-arrests-doj-five-chinese-nationals
新的 Windows 后门 BITSLOTH 利用 BITS 进行隐秘通信
https://thehackernews.com/2024/08/new-windows-backdoor-bitsloth-exploits.html
漏洞事件
Vulnerability Incidents
超过 20,000 个暴露在互联网的 VMware ESXi 实例易受 CVE-2024-37085 攻击
https://securityaffairs.com/166432/hacking/vmware-esxi-cve-2024-37085-vulnerable-instances.html
罗克韦尔自动化 Logix 控制器中发现安全绕过漏洞
https://www.securityweek.com/security-bypass-vulnerability-found-in-rockwell-automation-logix-controllers/
CISA 警告 Avtech 摄像头漏洞遭野外利用
https://www.securityweek.com/cisa-warns-of-avtech-camera-vulnerability-exploited-in-wild/
尽管已有补丁,但数千台 Ubiquiti 摄像头和路由器仍存在漏洞
https://cybernews.com/security/thousands-ubiquiti-cameras-and-routers-vulnerable/
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):Linux 内核受到新的 SLUBStick 跨缓存攻击的影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论