Bir güvenlik araştırması, Linux Kernel EBPF'de (Genişletilmiş Berkeley Paket Filtresi), UBUNTU makinelerinde artmış imtiyazlar verebilecek olan Linux Kernel EBPF (Genişletilmiş Berkeley Paket Filtresi) içindeki yüksek şiddetli bir güvenlik açığı için yayımlandı.
Hata CVE-2021-3490 olarak izlenir. Mayıs ayında açıklandı ve bir ayrıcalık artışıdır, bu nedenle hedef makineye yerel erişim gerektirir.
EBPF, kullanıcı tarafından verilen programların, belirli bir olay veya işlev tarafından tetiklenen, işletim sisteminin çekirdeği içindeki sandolu çalışmasını sağlayan bir teknolojidir (örneğin, sistem çağrısı, ağ olayları).
Trend Micro'nun sıfır günü girişimi ile çalışan Redrocket CTF ekibinin Manfred Paul, hatayı bildirdi. CVE-2021-3490'un sınır dışına dönüşebileceğini bulmuşlar, çekirdeğe okur ve yazar.
Sorun, kullanıcı tarafından sağlanan programların yürütülmeden önce uygun bir doğrulama işleminden geçmemesi gerçeğinden oluşur. Düzgün bir şekilde sömürülürse, yerel bir saldırgan, makinede keyfi kodu çalıştırmak için çekirdek ayrıcalıklarını alabilir.
Bu hafta bir blog yazında, Exploit Developer Valentina Palmiotti, CVE-2021-3490 CVE-2021-3490'un arkasındaki teknik detayları ve Ubuntu kısa vadeli sürümlerde 20.10 (Groovy Gorilla) ve 21.04 (Hirsute Hippo) sömürüsünü açıklar.
Palmiotti, GRAPP'te, olay tespiti ve yanıtı için grafik tabanlı bir platform sunan bir şirket olan bir kurşun güvenlik araştırmasıdır.
Bu böcek araştırması da, mevcut ayrıcalıklar için kaldırılacak güvenlik açığını tetiklemek ve mevcut tüm çekirdek ipliklerini kilitleyerek hedef sistemde bir inkar eden (DOS) durumu oluşturmak için özellikleri de kapsar.
Araştırmacı, CVE-2021-3490 için konsept kanıtı oluşturdu ve GitHub'da yayınladı. Exploit'in geçerliliğini gösteren bir video aşağıda mevcuttur:
Bu yılın başlarında, Microsoft, geliştiricilerin EBPF teknolojisini Windows'un üstüne kullanmalarını sağlayan EBPF-for-Windows adında yeni bir açık kaynaklı proje açıkladı.
Bu, mevcut EBPF projeleri için bir uyumluluk katmanı eklenerek elde edilir, böylece Windows 10 ve Windows Server'da alt modüller olarak işlev görebilirler.
EBPF'nin Windows'a taşınması, devam eden çok fazla gelişimi olan erken bir projedir. Palmiotti'nin CVE-2021-3490 araştırması, Linux uygulaması ile sınırlıydı. Araştırmacı, BleepingComputer'a bundan dolayı, istismarının, mevcut formdaki Windows üzerinde çalışmayacağını söyledi.
POC, Groovy Gorilla taneleri 5.8.0-25.26 ile 5.8.0-52.58 ve Hirsute Hippo Kernel versiyonu 5.11.0-16.17 için tasarlanmıştır. Hem Ubuntu sürümleri için yamalar serbest bırakıldı.
Yeni Linux çekirdek böcek en modern distrolarda kök kazanmanızı sağlar
Linux System Service Hatası En modern distrolarda kök kazanmanızı sağlar
Microsoft Paylaşımları Windows 10 Ciddi Sunucusu Güvenlik Açığı için geçici çözüm
Yazıcı yazılımında 16 yaşındaki böcek, bilgisayar korsanları yönetici haklarını verir
Microsoft Linux Repos, gün boyu geçiş, hala iyileşme
Kaynak: Bleeping Computer