La vulnérabilité Stack Clash fragilise les systèmes Unix

La société de sécurité Qualys a alerté de l’existence d’une vulnérabilité dans les systèmes d’exploitant reposant sur Unix incluant Linux, OpenBSD et FreeBSD. Baptisée Stack Clash, elle peut être utilisée par des pirates pour corrompre la mémoire et exécuter du code arbitraire.

Les systèmes Unix en danger avec la faille Stack Clash découverte par Qualys. (crédit : D.R.)
Si les systèmes d’exploitation Windows constituent la cible préférée des pirates, d’autres sont également dans leur collimateur. C’est le cas par exemple des systèmes Unix dont une vulnérabilité affectant Linux, OpenBSD, NetBSD ou encore FreeBSD et Solaris sur architecture processeur i386 et amd64, a été découverte par Qualys. Dans un blog, des chercheurs du spécialiste en sécurité indiquent qu’une faille relative à la gestion de la pile mémoire de ces systèmes, baptisée Stack Clash, peut ainsi être exploitée par des attaquants pour la corrompre et exécuter du code arbitraire.

« Chaque programme exécuté sur un ordinateur utilise une région de mémoire spéciale appelée pile. Cette partie de la mémoire est spéciale car elle se développe automatiquement lorsque le programme nécessite plus de ressources. Mais si elle augmente trop et devient trop proche d’une autre région de mémoire, le programme peut confondre la pile avec l’autre région de la mémoire. Un attaquant peut exploiter cette confusion pour écraser la pile avec l’autre région de mémoire ou l’inverse », pécise Qualys. Le risque étant qu’un attaquant puisse exploiter cette faille dans une optique d’escalade de privilèges allant jusqu’à un contrôle système total (full root). Suite à un premier bulletin de sécurité CVE-2017-1000364, deux autres ont été publiés (CVE-2017-1000365 et CVE-2017-1000367).

Une vulnérabilité déjà exploitée en 2005 et 2010

Afin de se protéger contre Stack Clash, SuSE, Red Hat, Debian, Ubuntu, OpenBSD et Oracle Solaris ont publié des patchs. Les entreprises ne souhaitant malgré tout ne pas faire évoluer leurs versions peuvent tenter de paramétrer les processus RLIMIT_STACK et RLIMIT_AS des systèmes locaux et services distants à des valeurs relativement basses, explique Qualys. Ce n’est pas la première fois que ce type de vulnérabilité est découvert. Elle a ainsi déjà été exploitée en 2005 et en 2010, année depuis laquelle Linux a intégré une protection pour empêcher ce type d’exploit ce qui n’empêche pas certaines, comme Stack Clash, de passer au travers.