Kernel

Recentemente, especialistas propuseram a implementação de um mecanismo de ‘killswitch’ no kernel Linux, que permitiria desativar temporariamente funções vulneráveis em tempo de execução. Essa proposta surge em resposta a falhas críticas como Copy Fail e Dirty Frag, que expõem sistemas a riscos elevados. O ‘killswitch’ seria acessível através da interface securityfs, permitindo que administradores desabilitem funções problemáticas rapidamente, evitando que vulnerabilidades causem danos significativos até que correções adequadas sejam disponibilizadas. Embora a ideia apresente um potencial de mitigação, ela não resolve os problemas subjacentes e pode causar instabilidade no sistema. A proposta está atualmente em revisão pela comunidade Linux e não deve ser vista como um substituto para o patching adequado. A adoção dessa funcionalidade pode ser um recurso útil para prevenir a escalada de problemas de segurança enquanto as correções são desenvolvidas.

Uma nova técnica de exploração foi desenvolvida para a vulnerabilidade crítica do kernel Linux, identificada como CVE-2024-50264, que afeta o subsistema AF_VSOCK em versões do kernel a partir da 4.8. Essa vulnerabilidade permite que atacantes não privilegiados provoquem uma condição de uso após a liberação (UAF) no objeto virtio_vsock_sock durante operações de conexão de socket. Embora defesas anteriores, como a aleatorização de caches e o endurecimento de buckets SLAB, tenham dificultado a exploração, pesquisadores demonstraram que uma combinação de novos métodos e temporização precisa pode contornar essas mitigativas. Utilizando o framework de teste open-source kernel-hack-drill, os pesquisadores criaram uma cadeia de exploração que interrompe a chamada de sistema connect() com um sinal POSIX ‘imortal’, permitindo a exploração sem encerrar o processo. Após a liberação do objeto vulnerável, o ataque utiliza uma abordagem de alocação cruzada para recuperar o objeto e corromper estruturas críticas do kernel, permitindo a elevação de privilégios. Com a CVE-2024-50264 agora considerada explorável em kernels endurecidos, é crucial que as equipes de segurança priorizem a implementação de patches e reavaliem as estratégias de endurecimento de objetos do kernel.