ComputerBase Menü
Aktuelles

Wie relevant ist die Linux Lücke "noexec-Bypass" für Distributionen wie Ubuntu, Debian oder Fedora?

Merkmal

Merkmal

Ensign
Registriert
Sep. 2021
Beiträge
209

noexec-Bypass macht Linux-Systeme anfällig für Schadcode​

...
Schwachstelle in Linux-Systemen entdeckt: Angreifer können ohne root-Rechte das 'noexec'-Flag umgehen und Schadcode ausführen.
Zum Vergrößern anklicken....
Quelle

Im Beitrag "Bypassing noexec and executing arbitrary binaries" steht etwas von SELinux oder GRSecurity.

Kann jemand eine Einschätzung geben, wie relevant die Lücke für Distributionen wie Ubuntu(mit Snap), Debian(mit Flatpak) und Fedora ist?
 
  • Gefällt mir
Reaktionen: Sensei21
Prevention:


The trick (with slight modifications) works if only ONE of either ptrace(), mmap() or memfd_create() is available [disabling ptrace will also -EPERM /proc/self/mem]. Likely there are many more tricks to do the same…ask your friendly Blue Team to figure it out. Good luck.
Zum Vergrößern anklicken....
spontan fällt mir dazu Yama LSM ein mit ptrace_scope (hab das auch gesetzt)

https://www.stigviewer.com/stig/red_hat_enterprise_linux_8/2023-12-01/finding/V-230546

danke für das Thema, muss mich mal genauer damit auseinander setzen - ist das tatsächlich von letzter Woche ?

https://www.aon.com/cyber-solutions...inter-process-code-injection-without-ptrace2/

Tuesday, September 5, 2017 At 5:01AM​

Zum Vergrößern anklicken....

The obvious mitigation strategy for this technique is to set ptrace_scope to a more restrictive value. A value of 2 (superuser only) is the minimum that would block this technique, whilst not completely disabling ptrace on the system, but care should be taken to ensure that ptrace as a normal user is not in use. This value can be set by adding the following line to /etc/sysctl.conf:


kernel.yama.ptrace_scope=2


Other mitigation strategies include combinations of Seccomp, SELinux or Apparmor to restrict the permissions on sensitive files such as /proc/${PID}/maps or /proc/${PID}/mem.
Zum Vergrößern anklicken....

also wirklich, ist das schon so lange bekannt ? :evillol:
 
  • Gefällt mir
Reaktionen: BFF
Das noexec-mount-Flag war noch nie ein besonders guter Schutz. Denn es verhindert ja nur das direkte Ausführen von Programmen via entsprechenden Exec-Syscall. Wenn man aber z.B: ein Skript auf einer noexec-Volume via Interpreter startet, konnte man das damit schon immer umgehen. Von daher ist die Annahme, das man von noexec-Mounts kein "Programm" starten kann ohnehin falsch.

Bei der gezeigten Technik geht es eigentlich im Kern auch gar nicht darum, das noexec-Flag zu umgehen, sondern ein dateilose Programmausführung zu initiieren. Von daher ist die prominente Erwähnung des noexec-Flags meiner Meinung nach etwas irreführend.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Sensei21, Merkmal und AlphaKaninchen
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz