Friday, February 3, 2012

Tutorial Hacking: Privilege Escalation Menggunakan Exploit Lokal Mempodipper di Linux 2.6.39

Menurut Wikipedia: Exploit adalah sebuah kode yang menyerang keamanan komputer secara spesifik. Exploit banyak digunakan untuk penentrasi baik secara legal ataupun ilegal untuk mencari kelemahan (Vulnerability) pada komputer tujuan. Exploit biasanya terkait dengan bug (kesalahan pemrograman) yang  terdapat di kode penyusun sebuah perangkat lunak.
Exploit terkadang bisa dijalankan secara remote tanpa harus mengakses terlebih dulu ke mesin target. Namun ada juga exploit yang hanya dapat digunakan setelah pelaku log in ke mesin target. Exploit jenis kedua banyak dimanfaatkan untuk melakukan privilige escalation di sistem yang telah dilumpuhkan. Gunanya tentu saja mendapatkan akses lebih tinggi, misalnya root. Baru-baru ini ada satu bug yang ditemukan di kernel Linux >= 2.6.39 yang memungkinkan seorang peretas mendapatkan akses root setelah mendapatkan akses user biasa ke sistem. Informasi detail mengenai bug ini didokumentasikan di CVE-2012-0056. Linus sendiri telah mengeluarkan patch untuk bug ini yang segera diikuti oleh distro besar seperti RedHat, Debian, dan Ubuntu. Ada baiknya segera melakukan update kernel di server untuk menutup lubang akibat bug ini.
Untuk menguji apakah mesin server yang dikelola rentan terhadap bug ini dapat menggunakan proof of concept yang ditulis oleh seorang hacker yang menggunakan nick zx2c4. Di blognya dia membahas dengan lengkap bagaimana bug ini dieksploitasi. Exploit yang ia beri nama Mempodipper ini dapat diunduh dari repositori git. Kode yang ditulis dalam bahasa C ini harus dikompilasi sebelum dijalankan, namun sebelumnya cek dulu user yang digunakan untuk memastikan exploit bekerja.

whoami
Dan hasilnya user yang log in saat ini user biasa.

Kompilasi dan jalankan Mempodipper untuk melakukan privilege escalation.
gcc mempodipper.c -o exploit ./exploit whoami
Abrakadabra, sekarang user biasa tadi sudah berubah menjadi root alias super user.
Dengan menjadi root apapun bisa dilakukan. So, segera lakukan update sebelum terjadi apa-apa, sebelum ada serangan yang dapat membahayakan. Oh ya, konon exploit ini tidak berlaku untuk distro Gentoo karena pengembangnya menggunakan sys-apps/shadow dari http://pkg-shadow.alioth.debian.org