Digital Trends

Dirty Cow: attacchi al kernel Linux. Pronta la soluzione

L’esperto di sicurezza Phil Oester ha scoperto nel kernel di una nuova falla, soprannominata DIRTY COW che può essere sfruttata da un attaccante locale del elevare i suoi privilegi.

Il nome DIRTY COW è dovuto al fatto che la falla è innescata da quello che si definisce tecnicamente Race Condition ovvero un condizione per cui il risultato finale dell’esecuzione dei processi dipende dalla loro temporizzazione. Qualunque alterazione della temporizzazione può produrre effetti indesiderati, portando il sistema affetto in uno stato non previsto che potrebbe essere causa di malfunzionamenti.

In questo caso la “condizione di competizione” risiede nel kernel di Linux, nel sottosistema che gestisce l’implementazione dei meccanismi di copy-on-write (COW) per l’ottimizzazione nella gestione delle risorse del sistema operativo.

Secondo l’avviso di sicurezza pubblicato da Red Hat, la vulnerabilità, tracciata come CVE-2016-5195 , consente agli aggressori di modificare i file setuid utilizzati per la gestione dei permessi di accesso alle risorse del sistema.

“Una condizione di competizione è stata trovata nel sottosistema di memoria del kernel di Linux che gestisce l’implementazione delle operazioni di (COW) copy-on-write” riporta l’advisory di sicurezza pubblicato da Red Hat.” Un utente locale senza privilegi potrebbe sfruttare questo difetto per ottenere l’accesso in scrittura in luogo di quello di sola lettura sulla memoria e quindi aumentare i propri privilegi sul sistema”.

“Questa falla potrebbe essere abusata da un utente malintenzionato per modificare i file setuid esistenti ed elevare i suoi privilegi. Un exploit che sfrutta tale falla è già stato identificato in rete”.

Red Hat ha anche confermato che gli attaccanti stanno utilizzando un exploit che sfrutta la falla in attacchi osservati in rete contro sistemi Linux. La buona notizia è che è già disponibile una soluzione al problema e le distribuzioni di Linux hanno iniziato a rilasciare i necessari aggiornamenti.

C’è anche un aspetto curioso relativo alla falla DIRTY COW: i ricercatori che hanno scoperto la falla hanno lanciato una sorta di operazione di marketing sulla falla, creando un sito web, un logo e un account Twitter. E’ stato addirittura messo in piedi un negozio online che vende tazze con il logo “Dirty COW” e t-shirt.

Lasciatemi concludere con una delle domande nelle FAQ sessione del sito:

Può il mio antivirus rilevare o bloccare questo attacco?

“Anche se l’attacco può avvenire a diversi livelli, le principali aziende produttrici di antivirus possono sviluppare sistemi che rilevano DIRTY COW.” 

I ricercatori hanno anche pubblicato il codice dell’exploit su GitHub.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This