Dirty COW (CVE-2016-5195)
O que é Dirty COW (CVE-2016-5195)?
Dirty COW (CVE-2016-5195)Condição de corrida de 2016 no tratamento copy-on-write de mapeamentos de memória do kernel Linux, que permite a um utilizador local obter root escrevendo em ficheiros só de leitura.
O Dirty COW (CVE-2016-5195) é uma condição de corrida no subsistema de memória do kernel Linux que afetou a maioria das versões entre 2007 e 2016. O atacante coloca repetidamente a lógica copy-on-write em corrida contra uma chamada madvise/MADV_DONTNEED até que uma escrita num mapeamento privado seja aplicada ao ficheiro subjacente só de leitura. Combinado com binários suid graváveis ou com /etc/passwd, garante elevação local a root fiável. A falha afetou servidores, desktops, embarcados e Android e foi usada em ataques reais (incluindo o malware Android ZNIU). Defesas: atualizar para um kernel corrigido (4.8.3, 4.7.9, 4.4.26 ou patch de distribuição posterior); em Android, instalar o nível de segurança de novembro de 2016.
● Exemplos
- 01
Utilizador local a sobrescrever /etc/passwd para adicionar uma conta root via Dirty COW.
- 02
Malware Android ZNIU a usar Dirty COW para fazer root de dispositivos e instalar backdoor.
● Perguntas frequentes
O que é Dirty COW (CVE-2016-5195)?
Condição de corrida de 2016 no tratamento copy-on-write de mapeamentos de memória do kernel Linux, que permite a um utilizador local obter root escrevendo em ficheiros só de leitura. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Dirty COW (CVE-2016-5195)?
Condição de corrida de 2016 no tratamento copy-on-write de mapeamentos de memória do kernel Linux, que permite a um utilizador local obter root escrevendo em ficheiros só de leitura.
Como se defender contra Dirty COW (CVE-2016-5195)?
As defesas contra Dirty COW (CVE-2016-5195) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Dirty COW (CVE-2016-5195)?
Nomes alternativos comuns: CVE-2016-5195, Corrida COW Linux.