Dirty cow

Cowroot

Wind River® se compromete a ofrecer productos seguros y fiables que mantengan sus dispositivos protegidos. Como parte de este compromiso, nuestro equipo de respuesta a la seguridad supervisa y evalúa constantemente miles de notificaciones de autoridades y organismos aceptados por el CERT, comunidades de seguridad de Linux como oss-security y nuestros clientes. Wind River prioriza estas notificaciones, responde y se pone en contacto de forma proactiva con los clientes para que reciban las alertas oportunas, lo que les permite asegurar sus dispositivos.

Los clientes que no tengan la última versión del software pueden ser vulnerables y deben ponerse en contacto con el servicio de atención al cliente de Wind River o con su representante local de Wind River para obtener información sobre la corrección de su versión.

Los ataques maliciosos pueden hacerle responsable de pérdidas financieras y de imagen. La cobertura de seguridad de un proveedor establecido y de confianza hará que su plan siga siendo relevante en el siempre cambiante mundo del código abierto.

Esta es sólo una de las más de 6.000 vulnerabilidades de seguridad que nuestro equipo de respuesta de seguridad analiza anualmente, y sólo una de las más de 1.000 anuales para las que hemos producido una solución y la hemos distribuido a todos nuestros clientes actuales.

Chocolate de vaca sucia

Descubierto a finales de 2016, el Dirty COW es una vulnerabilidad de seguridad informática que afecta a todos los sistemas basados en Linux. Lo sorprendente es que este fallo a nivel de kernel ha existido en el Kernel de Linux desde 2007, pero solo fue descubierto y explotado en 2016.

La vulnerabilidad Dirty COW es un tipo de exploit de escalada de privilegios, lo que significa esencialmente que puede utilizarse para obtener acceso de usuario root en cualquier sistema basado en Linux. Aunque los expertos en seguridad afirman que este tipo de exploits no son infrecuentes, su naturaleza fácil de explotar y el hecho de que haya existido durante más de 11 años es bastante preocupante.

Dirty COW recibe su nombre del mecanismo copy-on-write (COW) del sistema de gestión de memoria del kernel. Los programas maliciosos pueden establecer una condición de carrera para convertir una asignación de sólo lectura de un archivo en una asignación de escritura. Así, un usuario sin privilegios podría utilizar este fallo para elevar sus privilegios en el sistema.

Al obtener privilegios de root, los programas maliciosos obtienen acceso sin restricciones al sistema. A partir de ahí, puede modificar los archivos del sistema, desplegar keyloggers, acceder a los datos personales almacenados en su dispositivo, etc.

Metasploit dirty cow

Dirty COW (Dirty copy-on-write) es una vulnerabilidad de seguridad informática para el kernel de Linux que afectaba a todos los sistemas operativos basados en Linux, incluidos los dispositivos Android, que utilizaban versiones antiguas del kernel de Linux creadas antes de 2018. Se trata de un fallo de escalada de privilegios local que aprovecha una condición de carrera en la implementación del mecanismo de copia en escritura en el subsistema de gestión de memoria del kernel. Los ordenadores y dispositivos que todavía utilizan los kernels más antiguos siguen siendo vulnerables.

Debido a la condición de carrera, con la sincronización correcta, un atacante local puede explotar el mecanismo de copia en escritura para convertir una asignación de sólo lectura de un archivo en una asignación de escritura. Aunque se trata de una escalada de privilegios local, los atacantes remotos pueden utilizarla junto con otros exploits que permiten la ejecución remota de código sin privilegios para lograr el acceso remoto a la raíz en un ordenador[1] El ataque en sí no deja rastros en el registro del sistema[2].

La vulnerabilidad tiene la designación Common Vulnerabilities and Exposures CVE-2016-5195.[3] Dirty Cow fue uno de los primeros problemas de seguridad corregidos de forma transparente en Ubuntu por el servicio Canonical Live Patch.[4]

La vaca sucia afectó a la versión del kernel

Dirty Cow (CVE-2016-5195) es la última vulnerabilidad de marca, con un nombre, un logotipo y un sitio web, que afecta a Red Hat Enterprise Linux. Esta falla es una vulnerabilidad generalizada y abarca las versiones 5, 6 y 7 de Red Hat Enterprise Linux. Los detalles técnicos sobre la vulnerabilidad y cómo solucionarla se pueden encontrar en  Kernel Local Privilege Escalation “Dirty COW” – CVE-2016-5195.

Para tener éxito, un atacante debe tener ya acceso a un servidor antes de poder explotar la vulnerabilidad. Dirty Cow funciona creando una condición de carrera en la forma en que el subsistema de memoria del kernel de Linux maneja la ruptura de copia en escritura (COW) de los mapeos de memoria privada de solo lectura. Esta condición de carrera puede permitir a un usuario local sin privilegios obtener acceso de escritura a las asignaciones de memoria de sólo lectura y, a su vez, aumentar sus privilegios en el sistema.

Copy-on-write es una técnica que permite a un sistema duplicar o copiar eficientemente un recurso que está sujeto a modificaciones. Si un recurso se copia pero no se modifica, no es necesario crear un nuevo recurso; el recurso puede ser compartido entre la copia y el original. En caso de modificación, se crea un nuevo recurso.