Une recherche innovante de l’Université de Technologie de Graz a mis en lumière une nouvelle méthode d’exploitation qui renforce la dangerosité des vulnérabilités dans le kernel Linux. Cette technique, nommée SLUBStick, soulève des questions cruciales sur la sécurité des systèmes modernes. L’analyse des implications et des mécanismes de cette méthode s’avère essentielle.
Une équipe de chercheurs de l’Université de Technologie de Graz, en Autriche, a publié un article sur le SLUBStick, une nouvelle technique d’exploitation du Core Linux qui pourrait rendre les vulnérabilités de la heap plus dangereuses.
SLUBStick : technique dangereuse d’exploitation du Core Linux
Les chercheurs ont noté que, bien que le nombre de failles dans le Core Linux ait considérablement augmenté ces dernières années, de nombreux problèmes ont un impact limité.
Les attaques de cross-cache, qui exploitent la réutilisation de la mémoire par l’allocateur du Core, peuvent accroître l’impact d’une vulnérabilité, mais les chercheurs de l’Université de Technologie de Graz ont observé que ces attaques restent encore impraticables, car elles n’ont qu’un taux de succès de 40% et entraînent souvent un échec du système.
La nouvelle technique SLUBStick pourrait permettre à un attaquant d’élever une vulnérabilité de la heap limitée à une primitive de lecture/écriture de mémoire arbitraire, ce qui, comme l’ont démontré les chercheurs, pourrait être exploité pour élever des privilèges et échapper à des conteneurs, même avec les défenses modernes activées.
Les chercheurs expliquent comment cette technique fonctionne…
Initialement, elle exploite un canal latéral temporel de l’allocateur pour exécuter de manière fiable une attaque de cross-cache avec un taux de succès supérieur à 99 % sur des caches génériques couramment utilisés.
Le SLUBStick exploite des modèles de code prédominants dans le Core Linux pour réaliser une attaque de cross-cache et transformer une vulnérabilité de la heap en manipulation de tables de pages, permettant ainsi de lire et d’écrire en mémoire de manière arbitraire.
Ont déclaré les chercheurs dans l’article.
De plus, ils ont démontré leurs découvertes contre les versions 5.19 et 6.2 du Core Linux et ont ciblé neuf vulnérabilités connues – identifiées entre 2021 et 2023 – pour montrer la montée en privilèges.
Ils ont rendu disponibles les artefacts du SLUBStick et le code utilisé pour réaliser les attaques. Des vidéos montrant l’exploitation en action ont également été publiées.