Decían "imposible de hackear": un hacker ruso ganó el premio al mejor hackeo de Linux
La casualidad pasó a ser la norma y las barreras de siempre simplemente desaparecieron.
Un investigador independiente llamado Alexander Popov presentó una nueva metodología para explotar una vulnerabilidad crítica en el núcleo de Linux identificada como CVE-2024-50264. Este fallo de tipo use-after-free en la sub-sistema AF_VSOCK está presente desde la versión del núcleo 4.8 y permite a un usuario local sin privilegios provocar un estado peligroso al trabajar con el objeto virtio_vsock_sock durante el establecimiento de una conexión. La complejidad y el alcance de las consecuencias hicieron que este fallo fuera galardonado en los Pwnie Awards 2025 en la categoría «Mejor elevación de privilegios».
Anteriormente se consideraba que la explotación del problema era extremadamente difícil debido a mecanismos de protección del núcleo, como la asignación aleatoria de slab-caches y las particularidades del funcionamiento de las cubetas SLAB, que impedían métodos directos como el heap spraying. Sin embargo, Popov logró desarrollar una cadena de técnicas que elimina estas limitaciones. El trabajo se realizó en el marco de la plataforma abierta kernel-hack-drill, diseñada para probar exploits del núcleo.
Un paso clave fue el uso de una señal POSIX especial que no finaliza el proceso. Esta señal interrumpe la llamada al sistema connect(), lo que permite reproducir de forma fiable la carrera de estados y mantener el control sobre el ataque. A continuación, el investigador aprendió a controlar el comportamiento de las cachés de memoria, colocando sus propias estructuras en el lugar de los objetos liberados. Un ajuste fino de los tiempos ofrece la posibilidad de inyectar datos preparados exactamente donde antes se encontraba el elemento vulnerable.
Tras eso, el exploit pasa a corromper estructuras críticas para el núcleo —msg_msg y pipe_buffer—. Mediante el sistema de colas de mensajes se logra leer memoria fuera del rango permitido, extrayendo direcciones y referencias a elementos sensibles, incluidos datos de cuentas. El siguiente paso es modificar los punteros dentro de pipe_buffer, lo que permite conseguir escritura arbitraria en el espacio del núcleo. Esta técnica se relaciona con los métodos Dirty Pipe y Dirty Pagetable, pero está adaptada a configuraciones con protecciones más estrictas.
Se presta especial atención a la táctica de "speedrun" de la carrera de estados: el ataque inicia repetidamente la conexión vulnerable hasta que el par de objetos queda en la posición adecuada para ser capturado. Como resultado, la explotación se vuelve no solo más fiable, sino también aplicable en sistemas modernos con mecanismos de protección activos.
Según el investigador, la metodología demuestra que incluso núcleos de Linux considerados protegidos siguen siendo vulnerables a estrategias ingeniosas de evasión. Para los equipos de seguridad, CVE-2024-50264 debe considerarse una amenaza prioritaria que requiere corrección inmediata y una revisión de los mecanismos de protección de objetos en memoria. El proyecto kernel-hack-drill, a su vez, se ha convertido en una herramienta útil para estudiar y ensayar estos escenarios, subrayando la necesidad de reforzar continuamente la arquitectura interna del núcleo.