Étude de la vulnérabilité du kernel Linux 64bits (local root de septembre 2010)

pages

Catalan

Documents

Écrit par
Christophe Roquette , Jérémy Subtil , Feili Liu Et Romain Bezut

Publié par
Miching

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

pages

Catalan

Documents

Lire

Le téléchargement nécessite un accès à la bibliothèque YouScribe Tout savoir sur nos offres

Publié par

Miching

Nombre de lectures

Langue

Catalan

Rappels Contexte de la vulnerabilite Aspect technique de la vulnerabilite Historique de la vulnerabilite Analyse d’un exploit ReferencesEtude de la vulnerabilite du kernel Linux 64bits(local root de septembre 2010)Christophe Roquette, Jeremy Subtil, Feili Liu et Romain BezutUniversite de Technologie de CompiegneSR06 { A10Christophe Roquette, Jeremy Subtil, Feili Liu et Romain Bezut Universite de Technologie de CompiegneEtude de la vulnerabilite du kernel Linux 64bits (local root de septembre 2010)Rappels Contexte de la vulnerabilite Aspect technique de la vulnerabilite Historique de la vulnerabilite Analyse d’un exploit ReferencesPlanRappelsRappel de la loiLes registresLes appels systemeContexte de la vulnerabiliteAspect technique de la vulnerabiliteD’ou vient la vulnerabilite ?Exploitation par ptrace(2) Patch de 2007 du cas ptraceHistorique de la vulnerabiliteCVE-2007-4573CVE-2010-3301Regression de 2008Analyse d’un exploitReferencesChristophe Roquette, Jeremy Subtil, Feili Liu et Romain Bezut Universite de Technologie de CompiegneEtude de la vulnerabilite du kernel Linux 64bits (local root de septembre 2010)Rappels Contexte de la vulnerabilite Aspect technique de la vulnerabilite Historique de la vulnerabilite Analyse d’un exploit ReferencesRappel de la loiRappel de la loiArticle 323-1 du Code penal (21 juin 2004).I Le fait d’acceder ou de se maintenir, frauduleusement, dans ...

Voir

Publié par

Miching

Langue

Catalan

RappelsContexteedaluvnle´aribileAt´ecspecttiqhnedeuuvale´nlibareHislit´quedtorilu´nlevalitirebaysalAn´expne’uedfe´Rtiolsecnere´hpReqoeutt,e´JreChristomoRteuiLtuzeBniabtSumy´eliei,Filgoeinhlopm`iedoCersiUniveTect´edt´liuked´elnbiraededuvalengeutE´otdesept(localroxu46ibstreenLlni

SR06 – A10

Universit´edeTechnologiedeCompie`gne

ChristopheRoquette,J´er´emySubtil,FeiliLiuetRomainBezut

´ Etudedelavulne´rabilite´dukernelLinux64bits (local root de septembre 2010)

)0102erbme

lLinux64edukernelaortoedibstl(co01e2

Plan Rappels Rappel de la loi Les registres Lesappelssyst`eme Contextedelavulnerabilite´ ´ Aspecttechniquedelavuln´erabilit´e D’o`uvientlavulnerabilit´e? ´ Exploitation par ptrace(2) Patch de 2007 du  cas ptrace  Historiquedelavuln´erabilit´e CVE-2007-4573 CVE-2010-3301 R´egressionde2008 Analyse d’un exploit Re´ferences ´

0)ptsebremavuledeltextsConppleaRabern´ulHi´eitileuqirotsnluvaledabiln´erAspeit´ehcintcetlevauqdeerf´ceens´erabilit´eAnalyes’dnuxelpioRte´ainBtRomLiueeililiF,uStbe´ym´Jree,ttueoqeRphtoisrhCrabilit´lavuln´eE´utededpm`igeenieogCodeeceTolhnisrede´ttuzevinU

ibile´arsiot´tHeedelriqun´eravule´tilibadesylanAloxpne’u´eefR´itRpaepsloCntextedelavuln´eibar´tilpsAettcehnecueiqladelnvuncreesolhnieogedt´eceTengeutE´oCed`ipmLiuetRomil,FeilinUvireisiaBnzetuueoqeRphtoishrCtbuSyme´re´J,ett)0

Rappel de la loi

Article323-1duCodep´enal(21juin2004). I  Lefaitd’acce´deroudesemaintenir,frauduleusement,danstout oupartied’unsyste`medetraitementautomatise´dedonn´eesest puni de deux ans d’emprisonnement et de 30000 euros d’amende.  I  Latentativedesd´elits[...]estpuniedesmeˆmespeines. 

Rappel de la loi

stib46xuorlacol(ptsedeot01e2bremaluvededaribnle´eduklit´lLinerne

46ibstl(colaortot´edukernpeplRLaisnCuexl

Les registres

sedeempte2br0)01reneecsoitR´ef´d’unexplanAeesylibar´tilvula´elniqordeueiHtstie´bali´nreavuledelniqutechtcepsAe´tilibaren´ulaveledxtteondelavuln´erabilioCpm`igeenE´utedeTedhnecogoldeiezeBnnUturevi´tisliLi,FeiomaiuetRree´,e´JtbliymuSphtoishrttueoqeRC

lit´eAnaln´erabieuedaluviHtsroqiscef´´eenerlpxeRtioesylnu’dChr,FilbtSumy´eerJ´,etteuqoRehpotsippaRrebalu´ne´sAlitionteelsCelavxtedre´nluvae´tilibachtectpeeledquni

Lesappelssyst`eme

Lesappelssyste`me

lieiueLiomtRnBaituzeE´uteded´elnvulat´libiraenrekude46xuniLl(locbitsotdealromerbestp)0

Universite´deTechnologiedeCompi`egne

2e10

iLun6xb4udeknrleabilit´eavuln´er0102

I KernelLinuxx8664-bitsavecmodedecompatibilit´e32-bitsactiv´e. I Survientlorsd’unappelsyste`me32-bits( int 0 x80 en assembleur). I Ve´riﬁcationsurEAXmaisutilisationdeRAX,cequiautorise`aaller chercherlaroutinedesyscalldansl’espacem´emoireutilisateur. I Exe´cutiond’uneroutinecre´e´eparl’utilisateurenmodekernel. I Changement des UID, GID, . . . du programme en cours. I Exe´cutionde /bin/sh . I Got root.

Contextedelavulne´rabilit´e

)etpeerbmoolrestds(itcaloRexntdetepeapColsaribil´taluvnle´echniqueeAspecttilibare´nluvaledeledquritoiseHt´tie´bali´nrevaluxplo’uneysedAnalef´eitR´esrencetJ,uqteehoRtspol,FeubtiemyS´er´riChigdeCemoeThconolEtudedelpi`egne´amoReBniLiliteuiitrsde´etUzuveni

stor´eHidelaiquelu´nlevalitirebad’selynaoiplexunare´nluvAe´tilibppelsContextedelaRpeAstectnichedquluvare´nlibae´ticeens´etRerf´rnkeLielx6nuit4b´nlubaretiliude´´EtudedelavtoRteuiLiuzeBniamySubr´emFeiltil,oRuqpoehJ,e´teethCtsir

Cependantimpossiblea`exploiterdansuncasnormald’utilisationa`cause du zero-extending :

m o v l % eax ,% eax

Cequiassurequelamoiti´esupe´rieurede rax est toujours a zero. ` ´

´ Emulationdesappelssyste`me32-bitsdanslekernel:

c m p l $ ( I A 3 2 _ _ y l l s -1) ,% eax N R s s c a ja i a 3 2 _ b a d s y s i a 3 2 d o c a l l : _ _ _ _ I A 3 2 A R G F I X U P c _ s y _ l _ t a b l e ( ,% rax ,8) a l l * i a 3 2 s c a l

1 2 3 4 5

epestdoolrcalos(

D’o`uvientlavuln´erabilit´e?

D’ou`vientlavulne´rabilit´e?

Universit´edeTechnologiedeCompi`egne

)0102erbmet

oRuqpoehirtshCtsiHqiroedeuuval´elnbirat´linaeAeptcethcinuqdeleavuln´erabilit´e’dnuylesioRtxelperen´ef´cesJl,eeC´stneoeettStyxbdue´lremveaFuelinl´teirla,beitlRioti´LeiAusuzeBniamsrevinUtTede´eitgilonpopcRhadeCemoipe`ng´etEudedelavuln´erabtiliude´nrekiLlex6nuit4blos(lrcare20tembesepootd

Exploitation par ptrace(2)

Qu’est ce que ptrace(2) ? I Appelsyt`mepermettanta`unprocessusparentd’observeretde s e controˆlerl’exe´cutiond’unprocessusﬁls. I Syscallutilise´parlesd´ebogueurstelsqueGDBnotamment. Exploitation dans notre cas : I D´eboguerleprocessusﬁlslorsd’unappelsyst`emeavec: ptrace ( PTRACE_SYSCALL , pid , 1, 0); I Changerlavaleurderaxduﬁlsavantl’appelsyste`me32-bits (etdoncapre`sle movl % eax ,% eax ).

01)

Voir