В ядре Linux устранена 0-day уязвимость Dirty COW

В ядре Linux устранена 0-day уязвимость Dirty COW

В ядре Linux устранена 0-day уязвимость Dirty COW

Согласно официальным данным, опубликованным вечером 20 октября 2016 года, уязвимость CVE-2016-5195, получившая имя Dirty COW, существовала в ядре Linux начиная с версии 2.6.22, то есть с 2007 года. Нет никаких доказательств того, что злоумышленники знали о баге давно и пользовались им все эти годы. <--break->

Однако исследователь Фил Остер (Phil Oester), обнаруживший проблему, уже уведомил RedHat о том, что недавно эксплоит для данной уязвимости был использован в ходе реальных атак. В интервью V3 исследователь подчеркнул, что для атак на уязвимость используется полноценный и опасный эксплоит.

Согласно официальным данным, проблема связана с тем, как подсистема памяти ядра работает с механизмом copy-on-write (COW). Эксплуатируя баг можно спровоцировать так называемое состояние гонки. В итоге неавторизованный локальный пользователь сможет получить доступ к memory mappings с правом записи, тогда как в нормальной ситуации доступ должен ограничивать только чтением (read-only).

Подробное техническое описание найденной уязвимости можно найти здесь, здесь и здесь. Также исследователи, нашедшие баг, решили пошутить надо всеми «именными уязвимостями» в целом, поэтому у Dirty COW есть официальное лого, собственный аккаунт твиттер, сайт и даже собственный магазин, где продаются футболки, кружки, сумки для ноутбуков и другая мелочевка, оцененная в тысячи или десятки тысяч долларов, пишет xakep.ru.

Несмотря на то, что Dirty COW — это даже не RCE-уязвимость, многие эксперты всерьез обеспокоены. Во-первых, уязвимость была обнаружена в самом ядре Linux и, хуже того, в такой его части, которая присутствует в составе любых дистрибутивов почти десять лет. Во-вторых, создать эксплоит для Dirty COW, по словам экспертов, совсем нетрудно.  В-третьих, проблему уже эксплуатирую злоумышленники.

«Как заметил Линус [Торвальдс] в своем коммите, этот древний баг живет в ядре уже много лет. Всем пользователям Linux стоит отнестись к проблеме серьезно и установить патч как можно быстрее», — пишет Остер.

" />

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru