Título: 0 Clique com a vulnerabilidade Linux Kernel KSMBD permite a execução do código remoto via exploração de dia n - Against Invaders - Notícias de CyberSecurity para humanos.
Data: 2025-09-16 07:19:06
Autor: Inteligência Against Invaders
URL: https://datalake.azaeo.com/news-againstinvaders-com/07dd3cac6e2b9d2afc210bb6db0142d1/0-clique-com-a-vulnerabilidade-linux-kernel-ksmbd-permite-a-execucao-do-codigo-remoto-via-exploracao-de-dia-n-against-invaders-noticias-de-cybersecurity-para-humanos/927/

Uma vulnerabilidade recente no m&oacute;dulo KSMBD do kernel Linux permite que um invasor execute o c&oacute;digo arbitr&aacute;rio em um sistema de destino sem qualquer intera&ccedil;&atilde;o do usu&aacute;rio.
O KSMBD &eacute; um servidor SMB3 em espa&ccedil;o de kernel que lida com o compartilhamento de arquivos de rede. Pesquisadores demonstrado Uma explora&ccedil;&atilde;o est&aacute;vel contra o KSMBD no Linux 6.1.45, alcan&ccedil;ando a execu&ccedil;&atilde;o do c&oacute;digo remoto (RCE) com uma taxa de sucesso acima de 95 %.
A explora&ccedil;&atilde;o aproveita dois CVEs conhecidos, corrigidos pela iniciativa do dia zero no in&iacute;cio de 2024 e no final de 2023.
No primeiro est&aacute;gio, um excesso de heap n&atilde;o autenticado (CVE-2023-52440) ocorre durante a autentica&ccedil;&atilde;o NTLM.
Ao criar uma chave de sess&atilde;o de grandes dimens&otilde;es Blob em uma mensagem SMB2_SESSH_SETUP, a explora&ccedil;&atilde;o for&ccedil;a um excesso de slub controlado em uma aloca&ccedil;&atilde;o Kmalloc-512.
Esse transbordamento serve como um primitivo &ldquo;WriteHeap&rdquo;, permitindo que o atacante corrompe a mem&oacute;ria do kernel adjacente sem autentica&ccedil;&atilde;o.
Um segundo bug autenticado (CVE-2023-4130) nos atributos estendidos (EA) o analisador fornece, em seguida, fornece uma leitura fora do limite primitiva. Ao criar um tamp&atilde;o de EA malicioso, o invasor vaza o conte&uacute;do de heap arbitr&aacute;rio atrav&eacute;s de metadados XATTR, equivalente a um primitivo &ldquo;writeleak&rdquo;.
Abuso de layout de heap e desvio KASLR
A combina&ccedil;&atilde;o dessas primitivas permite uma corrente completa. O vazamento revela os ponteiros do kernel e ignora o KASLR lendo ponteiros de uma laje Kmalloc-1K que mant&eacute;m objetos de conex&atilde;o KSMBD.
Os pesquisadores pulverizam objetos do kernel abrindo v&aacute;rias conex&otilde;es e sess&otilde;es de SMB e acionam repetidamente o transbordamento at&eacute; que uma conex&atilde;o seja corrompida. Eles usam um loop guiado de spray e check para localizar com seguran&ccedil;a a v&iacute;tima de transbordamento e as dicas vazadas.
Com o desvio do KASLR, o atacante constr&oacute;i os gadgets do kernel ROP para sequestrar o sess&atilde;o do sess&atilde;o. 
Um primitivo livre arbitr&aacute;rio faz com que o peda&ccedil;o de heap de uma sess&atilde;o se sobreponha a um objeto de conex&atilde;o, permitindo a substitui&ccedil;&atilde;o de ponteiros de fun&ccedil;&atilde;o no Kmalloc-1k.
Finalmente, uma solicita&ccedil;&atilde;o de SMB cuidadosamente criada aloca um grande peda&ccedil;o contendo uma cadeia ROP. Essa cadeia gira a pilha na mem&oacute;ria controlada, configura argumentos e callscall_usermodehelperto inicia um shell reverso no modo de usu&aacute;rio. 
Um gadget do sono segura o fio do kernel vivo, impedindo a falha do sistema. O KSMBD &eacute; frequentemente desativado na produ&ccedil;&atilde;o, limitando o impacto generalizado. 
No entanto, qualquer sistema que executa um kernel 6.1.x desatualizado com KSMBD ativado e exposto a redes n&atilde;o confi&aacute;veis &#8203;&#8203;&eacute; vulner&aacute;vel.
Explora&ccedil;&atilde;o de demonstra&ccedil;&atilde;o de ponta a ponta

Os administradores do sistema devem atualizar para o kernel 6.1.46 ou posterior, onde ambos os CVEs s&atilde;o backported e corrigidos. 
A ativa&ccedil;&atilde;o das op&ccedil;&otilde;es de endurecimento padr&atilde;o (SMEP, SMAP, KPTI, Freelista de laje aleat&oacute;ria) reduz a confiabilidade da explora&ccedil;&atilde;o, mas n&atilde;o elimina completamente a amea&ccedil;a.
Esta explora&ccedil;&atilde;o N do dia destaca os riscos de executar servi&ccedil;os complexos no espa&ccedil;o do kernel. Enquanto o KSMBD oferece benef&iacute;cios de desempenho, ele expande a superf&iacute;cie de ataque para execu&ccedil;&atilde;o de c&oacute;digo remoto.
Os administradores devem preferir servidores de SMB no espa&ccedil;o do usu&aacute;rio, a menos que o desempenho no n&iacute;vel do kernel seja essencial e garantir o patch em tempo h&aacute;bil de atualiza&ccedil;&otilde;es de seguran&ccedil;a.
Monitoramento cont&iacute;nuo para tr&aacute;fego incomum de SMB e desativar o acesso an&ocirc;nimo Acesso atenuam ainda mais o risco. A revis&atilde;o cont&iacute;nua dos m&oacute;dulos do kernel e a implanta&ccedil;&atilde;o cautelosa de novos servi&ccedil;os permanecem cr&iacute;ticos para manter a seguran&ccedil;a do sistema.
Encontre esta hist&oacute;ria interessante! Siga -nosLinkedIneXPara obter mais atualiza&ccedil;&otilde;es instant&acirc;neas.