Comment ce nouvel attaquant Linux réussit-il à déjouer toutes les défenses modernes avec un taux de réussite de 99 % ?
L’émergence de ce nouvel attaquant Linux soulève des questions fondamentales quant à l’efficacité des défenses modernes en cybersécurité. Avec un taux de réussite impressionnant de 99 %, cet outil a réussi à contourner des mécanismes de sécurité antérieurs réputés infaillibles. En exploitant des vulnérabilités précises, en s’adaptant aux protocoles de sécurité établis et en utilisant des techniques avancées de camouflage, il redéfinit les standards de la pénétration et de l’exploitation de systèmes. L’analyse de ses méthodes et de son fonctionnement offre un éclairage crucial sur les défis contemporains auxquels font face les infrastructures numériques.
Le SLUBStick : Une nouvelle menace pour le Kernel Linux
Le développement de la technique SLUBStick par des chercheurs de l’Université de Technologie de Graz en Autriche a mis en lumière une vulnérabilité majeure dans les versions du kernel Linux 5.19 et 6.2. Cette enveloppe d’attaque révolutionnaire permet de contourner les mécanismes de défenses modernes du système, offrant ainsi un accès illimité en lecture et écriture. La vulnérabilité détectée repose sur la réutilisation de la mémoire dans l’allocateur du noyau.
Un taux de succès particulièrement élevé a été relevé pour cette attaque, atteignant les 99% pour des caches génériques à usage fréquent. Cette efficacité dépasse largement la plupart des techniques d’attaques croisées de cache traditionnelles, qui ne présentent qu’un succès d’environ 40%.
Les mécanismes défensifs contournés
Malgré la mise en place de défenses avancées dans le noyau Linux, l’attaque SLUBStick est capable de contourner des mesures de sécurité telles que :
- Supervisor Mode Execution Prevention (SMEP)
- Supervisor Mode Access Prevention (SMAP)
- Kernel Address Space Layout Randomization (KASLR)
Actuellement, les défenses existantes du noyau promettent de réduire les menaces posées par SLUBStick, mais celles-ci n’offrent pas de protection complète.
Mécanisme de l’attaque
Pour que SLUBStick s’exécute, l’attaquant doit avoir un accès local au système Linux ciblé. L’attaque exploite une vulnérabilité de heap dans la gestion de la mémoire du noyau, permettant ainsi un escalade des privilèges et un accès root à l’hôte. De plus, elle utilise un exploit de canal auxiliaire pour surveiller l’utilisation de la mémoire, optimisant ainsi les chances de succès en contrôlant la réutilisation de la mémoire.
Impacts de l’attaque SLUBStick sur les systèmes
Les chercheurs ont systématiquement analysé l’attaque, et ont découvert que SLUBStick est efficace sur des machines virtuelles x86 et aarch64, et fonctionne sur des processeurs Intel, AMD et Arm. Ainsi, cette technique renforce la fiabilité des attaques croisées de cache, rendant leur exploitation plus concrète. En d’autres termes, SLUBStick améliore significativement l’efficacité d’autres types d’attaques.
| Défense Contournée | Risque Associé |
| SMEP | Accès non autorisé au kernel |
| SMAP | Manipulation de la mémoire |
| KASLR | Exploitation de vulnérabilités mémoire |
| Protection mémoire | Exploitation d’accès illimités |
| Mécanisme de sandbox | Fuite hors environnement sécurisé |
| Contrôles des accès | Escalade de privilèges |
- Vulnérabilités listées : CVE-2023-21400, CVE-2023-3609
- Types de mémoire ciblés : kmalloc-32, kmalloc-96, kmalloc-4096
- Objectifs de l’attaque : Accès root, exécution de code
- Environnement d’exécution : Systèmes Linux
- Utilisation de canaux auxiliaires pour augmenter le taux de réussite
- Intégration dans des environnements virtuels x86 et aarch64
Commentaires
Laisser un commentaire