-
09/04/2020
-
95
-
767 bài viết
Từ lỗi nhỏ trong Linux Kernel đến khai thác chiếm quyền root, mã PoC đã công bố
Nhà nghiên cứu bảo mật Michael Hoefler vừa công bố phân tích chi tiết về lỗ hổng bảo mật CVE-2025-21756 - một lỗi Use-After-Free (UAF) nguy hiểm trong vsock subsystem của nhân Linux. Lỗi xuất phát từ một thay đổi nhỏ trong hàm vsock_remove_sock(), nhưng có thể khiến cho kẻ tấn công leo thang đặc quyền cục bộ (Local Privilege Escalation - LPE) và thực thi mã tùy ý trong kernel.
Theo phân tích, nguyên nhân chính đến từ việc xử lý sai bộ đếm tham chiếu (reference counter) khi chuyển đổi giao vận (transport reassignment). Cụ thể, mã nguồn đã giảm bộ đếm tham chiếu trên các socket chưa gán (unbound socket), khiến đối tượng vsock bị giải phóng sớm. Từ đó dẫn đến trạng thái Use-After-Free, cho phép khai thác sâu trong kernel hệ điều hành.
Các thử nghiệm ban đầu dẫn đến kernel panic do AppArmor thông qua cơ chế Linux Security Module (LSM) đã xóa con trỏ sk_security khi socket bị giải phóng, ngăn không cho kẻ tấn công khai thác trực tiếp bằng cách sửa đổi con trỏ hàm. Điều này buộc kẻ tấn công phải tìm đến các hàm trong kernel không bị AppArmor bảo vệ.
Để vượt qua cơ chế Kernel Address Space Layout Randomization (kASLR), chuyên gia Hoefler đã khai thác chức năng vsock_diag_dump() - một công cụ chẩn đoán netlink không có lớp bảo vệ để brute-force con trỏ skc_net, từ đó điều khiển hoàn toàn socket đã được giải phóng.
Hình ảnh: Michael Hoefler
Bước cuối cùng là khai thác hàm vsock_release() để chiếm quyền điều khiển con trỏ sk->sk_prot->close. Nhờ đó, chuyên gia Hoefler xây dựng một chuỗi tấn công ROP (Return-Oriented Programming), gọi thành công hàm commit_creds(init_cred) để cấp quyền root cho tiến trình, rồi đưa luồng thực thi trở lại không gian người dùng (userspace) một cách an toàn.
Hiện mã khai thác PoC đã được công bố, giúp cộng đồng bảo mật kiểm tra và đánh giá mức độ ảnh hưởng của lỗ hổng này.
Theo phân tích, nguyên nhân chính đến từ việc xử lý sai bộ đếm tham chiếu (reference counter) khi chuyển đổi giao vận (transport reassignment). Cụ thể, mã nguồn đã giảm bộ đếm tham chiếu trên các socket chưa gán (unbound socket), khiến đối tượng vsock bị giải phóng sớm. Từ đó dẫn đến trạng thái Use-After-Free, cho phép khai thác sâu trong kernel hệ điều hành.
Các thử nghiệm ban đầu dẫn đến kernel panic do AppArmor thông qua cơ chế Linux Security Module (LSM) đã xóa con trỏ sk_security khi socket bị giải phóng, ngăn không cho kẻ tấn công khai thác trực tiếp bằng cách sửa đổi con trỏ hàm. Điều này buộc kẻ tấn công phải tìm đến các hàm trong kernel không bị AppArmor bảo vệ.
Để vượt qua cơ chế Kernel Address Space Layout Randomization (kASLR), chuyên gia Hoefler đã khai thác chức năng vsock_diag_dump() - một công cụ chẩn đoán netlink không có lớp bảo vệ để brute-force con trỏ skc_net, từ đó điều khiển hoàn toàn socket đã được giải phóng.
Hình ảnh: Michael Hoefler
Bước cuối cùng là khai thác hàm vsock_release() để chiếm quyền điều khiển con trỏ sk->sk_prot->close. Nhờ đó, chuyên gia Hoefler xây dựng một chuỗi tấn công ROP (Return-Oriented Programming), gọi thành công hàm commit_creds(init_cred) để cấp quyền root cho tiến trình, rồi đưa luồng thực thi trở lại không gian người dùng (userspace) một cách an toàn.
Hiện mã khai thác PoC đã được công bố, giúp cộng đồng bảo mật kiểm tra và đánh giá mức độ ảnh hưởng của lỗ hổng này.
Theo Security Online