CVE-2022-3910与DirtyCred: Linux权限提升漏洞深度解析<\/h1>

漏洞概述<\/h2>
CVE-2022-3910是Linux内核中的一个权限提升漏洞，存在于io_uring子系统的`io_msg_ring<\/code>功能中。该漏洞允许攻击者通过特定的操作序列实现文件结构体的释放后重用(UAF)，结合DirtyCred技术可以实现从普通用户到root用户的权限提升。<\/p>`

漏洞环境<\/h2>

影响内核版本：Linux kernel v5.19.0<\/li>
漏洞组件：io_uring子系统<\/li>
<\/ul>
漏洞成因分析<\/h2>
关键函数分析<\/h3>
漏洞位于io_msg_ring<\/code>函数中，当调用io_put_file<\/code>函数时未进行适当的检查：<\/p>
\/\/ 漏洞代码逻辑
<\/span><\/span><\/span><\/span>void<\/span> io_msg_ring<\/span>(...) {
<\/span><\/span>    ...
<\/span><\/span>    io_put_file(file);  \/\/ 未进行充分检查就调用
<\/span><\/span><\/span><\/span>    ...
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>io_put_file<\/code>函数的作用是检查文件是否存在，如果存在就将文件的引用计数(refcount)递减，当文件的refcount为0时释放该文件：<\/p>
static<\/span> void<\/span> io_put_file<\/span>(struct<\/span> file *<\/span>file) {
<\/span><\/span>    if<\/span> (file) {
<\/span><\/span>        if<\/span> (atomic_dec_and_test(&<\/span>file-><\/span>f_count))
<\/span><\/span>            __fput(file);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>触发路径<\/h3>
该漏洞通过io_issue_sqe<\/code>函数的IORING_OP_MSG_RING<\/code>选项触发。<\/p>
Fixed Files机制<\/h3>
io_uring中的"fixed files"机制是漏洞的关键：<\/p>

使用IORING_REGISTER_FILES<\/code>操作码注册文件时，内核会引用并保持这些文件描述符打开<\/li>
这些文件描述符称为"fixed files"<\/li>
应用程序可以关闭原始文件描述符，但io_uring中的引用仍然保持<\/li>
fixed files在后续操作中不是通过原始文件描述符引用，而是通过注册时的数组偏移量<\/li>
<\/ol>
引用计数问题<\/h3>
对于fixed files和普通文件，内核有不同的处理方式：<\/p>


普通文件处理<\/strong> (io_file_get_normal<\/code>):<\/p>

使用fget<\/code>增加引用计数<\/li>
使用fput<\/code>减少引用计数<\/li>
不会出现UAF情况<\/li>
<\/ul>
<\/li>

Fixed files处理<\/strong> (io_file_get_fixed<\/code>):<\/p>

从file_table中根据固定fd载入<\/li>
不涉及引用计数的变化<\/li>
正常逻辑中fixed files使用后不应进行递减操作<\/li>
<\/ul>
<\/li>
<\/ol>
通过gdb调试可以观察到fixed file的引用计数：<\/p>
pwndbg> p ((struct file*)0xffff888100ac3900)->f_count 
$2 = { counter = 2 }
<\/code><\/pre>
漏洞利用分析<\/h2>
基本利用思路<\/h3>

注册一个文件为fixed file<\/li>
利用漏洞删除它，获得一个被free掉的file结构体指针<\/li>
通过精心设计的内存操作实现权限提升<\/li>
<\/ol>
DirtyCred技术<\/h3>
DirtyCred是一种利用内核凭证和文件对象释放后重用的攻击技术。在本漏洞中，需要解决以下问题：<\/p>

如何将内存破坏漏洞转换为可利用的原语<\/li>
如何延长文件"权限检查-数据写入"的竞争窗口<\/li>
如何创建高权限的credential object来占据被释放的低权限对象的内存空间<\/li>
<\/ol>
关键利用步骤<\/h3>


内存置换<\/strong>：<\/p>

利用漏洞free掉fixed file后，立即open一个新文件来占用原本的空间<\/li>
测试表明这种置换是可行的<\/li>
<\/ul>
<\/li>

延长竞争窗口<\/strong>：<\/p>

内核文件系统写入流程：

文件权限检查(是否可写)<\/li>
实际写入数据至文件<\/li>
<\/ol>
<\/li>
需要在第一步和第二步之间将低权限文件结构体替换成特权文件<\/li>
<\/ul>
<\/li>

利用userfaultfd延长窗口<\/strong>：<\/p>

内核在写入前会拷贝iovec向量数据，触发缺页异常<\/li>
使用userfaultfd可以控制这个缺页处理，延长竞争窗口<\/li>
<\/ul>
<\/li>
<\/ol>
完整利用流程<\/h3>

进程1向低权限文件写入大量数据(约0.2GB)<\/li>
进程2开始写操作：

先检查文件读写权限(此时为低权限状态，检查通过)<\/li>
由于进程1正在写入，进程2会等待<\/li>
<\/ul>
<\/li>
在进程1检查结束后，进行UAF操作：

将低权限文件替换为特权文件<\/li>
<\/ul>
<\/li>
进程1写入完成：

文件已被篡改为特权文件并通过了读写检查<\/li>
数据被写入到特权文件中<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞修复<\/h2>
漏洞修复应关注io_put_file<\/code>函数对fixed files的处理，确保不会错误地递减fixed files的引用计数或释放它们。<\/p>
防御建议<\/h2>

及时更新内核到修复版本<\/li>
限制普通用户使用userfaultfd功能<\/li>
监控可疑的io_uring操作<\/li>
使用内核防护机制如SLAB_HARDENED等<\/li>
<\/ol>
总结<\/h2>
CVE-2022-3910展示了io_uring子系统中fixed files处理不当可能导致严重的安全问题。结合DirtyCred技术，攻击者可以实现权限提升。理解这类漏洞的成因和利用技术对于系统安全防护至关重要。<\/p>

CVE-2022-3910与DirtyCred: Linux权限提升漏洞深度解析<\/h1>

漏洞成因分析<\/h2>

触发路径<\/h3>
该漏洞通过`io_issue_sqe<\/code>函数的IORING_OP_MSG_RING<\/code>选项触发。<\/p>`

漏洞利用分析<\/h2>

漏洞修复<\/h2>
漏洞修复应关注`io_put_file<\/code>函数对fixed files的处理，确保不会错误地递减fixed files的引用计数或释放它们。<\/p>`

总结<\/h2>
CVE-2022-3910展示了io_uring子系统中fixed files处理不当可能导致严重的安全问题。结合DirtyCred技术，攻击者可以实现权限提升。理解这类漏洞的成因和利用技术对于系统安全防护至关重要。<\/p>

CVE-2022-3910与DirtyCred: Linux权限提升漏洞深度解析<\/h1>

漏洞成因分析<\/h2>

触发路径<\/h3> 该漏洞通过io_issue_sqe<\/code>函数的IORING_OP_MSG_RING<\/code>选项触发。<\/p>

漏洞利用分析<\/h2>

漏洞修复<\/h2> 漏洞修复应关注io_put_file<\/code>函数对fixed files的处理，确保不会错误地递减fixed files的引用计数或释放它们。<\/p>

总结<\/h2> CVE-2022-3910展示了io_uring子系统中fixed files处理不当可能导致严重的安全问题。结合DirtyCred技术，攻击者可以实现权限提升。理解这类漏洞的成因和利用技术对于系统安全防护至关重要。<\/p>

触发路径<\/h3>
该漏洞通过`io_issue_sqe<\/code>函数的IORING_OP_MSG_RING<\/code>选项触发。<\/p>`

漏洞修复<\/h2>
漏洞修复应关注`io_put_file<\/code>函数对fixed files的处理，确保不会错误地递减fixed files的引用计数或释放它们。<\/p>`

总结<\/h2>
CVE-2022-3910展示了io_uring子系统中fixed files处理不当可能导致严重的安全问题。结合DirtyCred技术，攻击者可以实现权限提升。理解这类漏洞的成因和利用技术对于系统安全防护至关重要。<\/p>