Linux中的Stack Clash漏洞，可被黑客利用獲取本地root許可權

上個月，Qualys的安全研究人員在多種基於Unix的系統上發現名為「Stack Clash」的漏洞，該漏洞能讓攻擊者在UNIX系統上獲得root許可權，並接管這台受到攻擊的計算機。目前安全研究人員發現了這個缺陷，正與各種供應商合作，儘早發布修復程序。

據 Qualys 的研究人員介紹，這個問題影響了許多 UNIX 系統，如 Linux，OpenBSD，NetBSD，FreeBSD 和Solaris。研究人員僅測試了 i386 和 amd64 平台上的 Stack Clash，並且不排除其他供應商和平台也可能受到影響。

其實，這個問題早在 2005 年就曾首次發現過，隨後Linux引進了應對的保護機制（Stack guard page）。而現在的漏洞核心也依舊是自 2005 年以來已經知道問題，在經歷補丁修復後該問題在2010年再次發現並得到修補，如今第三次發現存在漏洞。

什麼是Stack Clash漏洞

這個問題主要涉及內存棧的概念：棧內存是應用程序在計算機 RAM 中執行代碼的內存區域。而隨著應用程序越變越大，內存區域也「水漲船高」。

現在問題在於，當一個棧內存增長得太多，以至於過於接近另一個程序的棧內存時，可能會出現混淆的問題。應用程序的棧內存接觸到堆內存時，如果攻擊者可以注入某些數據然後操作堆內存中的存儲信息，他就可以覆蓋部分堆棧並劫持應用程序中的執行流，相應地，甚至還可以接觸到更重要的數據結構。

從 2005 到 2010 年，再到 2017 年，研究人員發現已經可以通過堆棧中泄露的代碼來欺騙操作系統。目前，Qualys 研究員已經公開了漏洞的概念驗證，可以看到低層代碼能從惡意應用程序的內存堆棧跳轉到具有 root訪 問許可權的合法應用程序的內存區域。

在現在的研究中我們發現stack clash漏洞仍然可以被攻擊者利用，儘管現在有Stack guard page保護機制，我們仍然發現了多種利用方法，如下所示：

1. 
   

   使棧內存與其他內存區域衝突：分配內存直至與其他區域衝突



2. 
   

   繞過 stack guard-page機制：將棧指針從棧中移到其他內存區域中，但不要觸及stack guard-page



3. 
   

   摧毀棧內存或其他內存區域：用另一個內存區域覆蓋原來的棧內存數據，或反過來覆蓋

漏洞影響

該研究團隊稱他們可以為製作出14個exploit及相應的概念驗證攻擊程序，針對Linux，OpenBSD，NetBSD，FreeBSD及Solaris系統。

而涉及的軟體程序則包括 Debian，Ubuntu 和 CentOS 上的 Sudo ；Debian上的 Exim ；Solaris 11上的 rsh 等等。Red Hat Enterprise Linux 5至7，Enterprise MRG 2.5 和 Virtualization 以及 RHEL Atomic Host 也受Stack Clash 影響。

後續研究

當然目前要實現這種攻擊的話，攻擊者需要本地訪問，遠程的攻擊方法還不清楚。現在利用這個漏洞的攻擊方法是經典的許可權提升（EoP）漏洞。由於EoP問題需要攻擊者已侵入到用戶系統中才能進行，一般情況下並不會認為是一個危險的問題。

Qualys 表示，他們會匯總各種操作系統上的 Stack Clash 的 PoC 漏洞，之後會一併公開。所有 PoC 都要求攻擊者具有本地訪問許可權，但研究人員不排除攻擊者可以從遠程位置（例如通過 HTTP 請求或 JavaScript 代碼）利用 Stack Clash 的某些情況。

系統供應商跟進

Red Hat 已經為 Stack Clash 漏洞發布了安全修補程序，Qualys 表示其他供應商也會很快跟進提供相應的補丁。

如果用戶無法更新，操作系統所有者可以將本地用戶和遠程服務的 RLIMIT_STACK 和 RLIMIT_AS 設置為低一些的數值。當然，這樣設置會導致應用程序的內存變小，因此無意中會對機器的性能產生一定的影響。

<點擊閱讀原文，查看原報告>

*參考來源：theregister，bleepingcomputer，Elaine編譯，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！