Los desarrolladores del proyecto hardenedlinux.org han lanzado 'userland-exec', una nueva caja de herramientas capaz de ejecutar binarios ELF arbitrarios en sistemas Linux, a pesar de las medidas de seguridad activas a nivel de kernel.
El toolkit, que incluye una prueba de concepto (PoC) para la ejecución remota de código (RCE), logra saltarse los controles de seguridad basados en el sistema de archivos, como las opciones de montaje 'noexec', así como los sistemas de Control de Acceso Obligatorio (MAC) como SELinux y AppArmor.
Al realizar el proceso de ejecución íntegramente en el espacio de usuario (userspace), la herramienta evita la ruta de ejecución del kernel. Esto impide que el kernel detecte la llamada al sistema 'execve(2)', lo que deja a los monitores de seguridad y a los registros de auditoría sin conocimiento de la existencia del nuevo proceso.
Evasión de las restricciones del kernel
El endurecimiento (hardening) tradicional de Linux confía en el kernel para aplicar restricciones al iniciar un nuevo proceso. En su lugar, el enfoque de 'userland-exec' analiza la cabecera ELF de destino y mapea los segmentos del programa directamente en el espacio de direcciones del proceso actual mediante 'mmap' o 'memfd_create'.
"Una vez que se logra la ejecución de código arbitrario dentro de un proceso, los controles basados en el sistema de archivos y centrados en execve pasan a ser, en gran medida, puro teatro", afirmaron los desarrolladores en su documentación.
La herramienta también incluye un mecanismo para eludir las protecciones 'W^X' (Write XOR Execute). Utiliza un manejador de señales especializado para cambiar temporalmente los permisos de memoria de 'PROT_EXEC' a 'PROT_WRITE' durante el proceso de carga, para luego restaurar los permisos originales y evitar ser detectado.
Para demostrar la vulnerabilidad, los desarrolladores publicaron un 'rce_demo' que presenta un servidor TCP vulnerable. La demostración utiliza una fuga por formato de cadena (format-string leak) y un desbordamiento de búfer de pila (stack buffer overflow) para secuestrar el flujo de control y ejecutar una carga útil (payload).
El toolkit admite dos modos de ejecución principales: el 'modo disco', que escribe la carga útil en un archivo, y el 'modo memfd', que utiliza 'memfd_create' para ejecutar la carga útil íntegramente en la memoria. Este último modo no deja rastro en el disco físico, lo que dificulta significativamente su detección por parte de las herramientas forenses.
Dado que la herramienta reemplaza la imagen del proceso existente in situ, las herramientas de monitoreo del sistema como 'ps' o 'top' siguen mostrando el nombre y el contexto del proceso original y legítimo. Esto permite que el código no autorizado se ejecute bajo la apariencia de un servicio de confianza.