一、漏洞背景
Alexander Popov发表了一篇文章Four Bytes of Power: Exploiting CVE-2021-26708 in the Linux kernel,它使用四字节覆盖漏洞进行权限提升。根据披露细节,该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。
二、漏洞分析
该漏洞利用分为以下几个步骤:
- 在可预测的地址分配一个good msg:在 vsock 上进行条件竞争;读取从 /dev/kmsg 泄漏的堆地址,然后使用 msgsnd() 在该地址分配好的 msg。
- 在 vsock 上赢得竞争:用泄露的地址覆盖 msg->security;使用失败的 msgsnd 分配一个损坏的 msg 和 free msg->security。请注意,good msg 可以被释放,但它仍在 msg 队列中,这是 UAF 变得可行的地方。
- Arbitary-write good msg:可以通过setxattr在 good msg 的地址分配对象然后覆盖它来伪造任意读取原语。
- Arbitray-read from good msg: 使用 msgrcv() 泄漏 vsk 结构的内容。
- 在 buff 中分配一个带有特殊标志的 sk_buff。
- 与第 4 步类似:在堆中搜索特殊标志以获取 sk_buff 的地址。
- 类似于第 2 步:释放 sk_buff。
- 类似于第 3 步:覆盖 sk_buff 函数指针,控制流可以被劫持。
- ROP 进行权限提升。
三、概念POC
目前poc已公开,读者可以自行编译研究。
vault_range_poc/cve-2021-26708.c at master · hardenedvault/vault_range_poc · GitHub