– Gravité : 2/4
– Conséquences : accès/droits administrateur, déni de service de la
machine
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : sources multiples (3/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 17/09/2009

PRODUITS CONCERNÉS

– NetBSD

DESCRIPTION DE LA VULNÉRABILITÉ
Sur un processeur Intel, lorsqu’une interruption/exception se
produit (par exemple un appel système via int 0x80), le contexte
courant (registres CS et EIP/RIP, et drapeaux) est sauvé. A la fin
de l’interruption/exception, l’instruction IRET restaure les
valeurs sauvées pour que le programme continue son exécution où il
avait été interrompu :
– restauration du pointeur d’instruction EIP/RIP
– restauration du registre CS (changement de privilège)
– restauration des drapeaux

Cependant, si le registre EIP/RIP ne fait pas partie du segment de
code, une erreur de protection générale survient avant le
changement privilège.

Pour mettre en oeuvre cette attaque, l’attaquant peut par exemple
placer une instruction "int 0x80" à la fin du segment de code
(défini dans la LDT) (ou utiliser l’émulation de pile non
exécutable sur x86). Comme l’adresse après ce "int 0x80" n’est pas
dans le segment de code, et comme IRET cherche à restaurer cette
valeur, le changement de privilège n’est pas effectué, et la pile
noyau se désynchronise.

Sur un processeur Intel, un attaquant local peut ainsi provoquer
une erreur lors de l’instruction IRET, afin de mener un déni de
service et éventuellement de faire exécuter du code.

CARACTÉRISTIQUES

– Références : CVE-2009-2793, VIGILANCE-VUL-9030
– Url : http://vigilance.fr/vulnerabilite/NetBSD-elevation-de-privileges-via-IRET-9030