Dirty COW - Linux Kernel Exploit

Celah cukup berbahaya pada kernel Linux baru saja ditemukan. Nama COW sendiri berasal dari mekanisme copy-on-write (COW) dalam kernel Linux, yang mana exploit ini sendiri memungkinkan "unprivileged" user untuk memodifikasi file yang sifatnya read only.

Exploit ini tentu sangat berbahaya mengingat bisa saja attacker menginstall malware dalam sistem untuk mendapatkan akses administrator.
Bahkan pada CVE-2016-5195, kita bisa memanfaatkan celah Dirty COW ini untuk melakukan eskalasi user, mendapatkan hak akses root dengan melakukan overwrite file /etc/passwd .

PoC :

 $ gcc cowroot.c -o cowroot -pthread
 $ ./cowroot
 DirtyCow root privilege escalation
 Backing up /usr/bin/passwd.. to /tmp/bak
 Size of binary: 57048
 Racing, this may take a while..
 /usr/bin/passwd overwritten
 Popping root shell.
 Don't forget to restore /tmp/bak
 thread stopped
 thread stopped
 root@box:/root/cow# id
 uid=0(root) gid=1000(foo) groups=1000(foo)

Celah ini telah ada sejak kernel 2.6.22 (released in 2007) dan diyakini juga menyerang android, karena juga menggunakan linux kernel. celah ini sendiri telah ditutup pada Oct 18, 2016.
Di sittus Dirty COW sendiri juga telah disebutkan dampak dari exploit ini :

• An unprivileged local user could use this flaw to gain write access to otherwise read-only memory mappings and thus increase their privileges on the system.
• This flaw allows an attacker with a local system account to modify on-disk binaries, bypassing the standard permission mechanisms that would prevent modification without an appropriate permission set.

Untuk penjelasan lebih lanjut mengenai bug dan PoC exploit ini bisa kalian baca sendiri di :

• Dirty COW Vulnerability Details

Untuk melakukan patching, cukup upgrade versi kernel yang kalian pakai karena kernel linux terbaru sudah menutup celah ini. Bahkan vendor besar seperti Debian, RedHat, dan Ubuntu telah melakukan perbaikan untuk distribusi linux mereka masing masing.