📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um bug use-after-free no hipervisor KVM do Linux pode ser acionado a partir de uma máquina virtual convidada para corromper o estado da página sombra do kernel host que o executa.
Chamada de ‘Januscape’ e rastreada como CVE-2026-53359, a falha está no código shadow MMU que o KVM compartilha entre Intel e AMD. A prova de conceito pública deixa o anfitrião em pânico; o pesquisador afirma que uma exploração separada e não lançada transforma o mesmo bug em execução completa do código host.
O pesquisador de segurança Hyunwoo Kim (@v4bel) encontrou e relatou o bug. Ele descreveu o Januscape como o primeiro exploit guest-to-host acionável tanto na Intel quanto na AMD, até onde é de conhecimento público. A falha passou despercebida por cerca de 16 anos.
De acordo com Kim, a exploração foi usada como envio de dia zero no kvmCTF do Google, o programa controlado de recompensa de vulnerabilidade KVM que oferece até US$ 250.000 para fugas completas de convidado para host.
Como funciona
Para executar uma máquina virtual, o KVM mantém seu próprio conjunto privado de tabelas de páginas que refletem o layout de memória do convidado. Quando precisa de uma dessas páginas de rastreamento, procura uma já existente para reutilizar.
O problema: ele os combinou apenas pelo endereço de memória e ignorou o tipo de página de rastreamento que estava capturando. Dois tipos diferentes podem compartilhar o mesmo endereço, mas realizar trabalhos completamente diferentes; portanto, o KVM às vezes reutiliza o tipo errado.
Essa confusão embaralha os registros internos do KVM sobre qual página pertence e onde, e uma vez que esses registros estão errados, algo tem que acontecer.
Na maioria das vezes, o kernel percebe a bagunça e desliga-se imediatamente para evitar danos. Essa falha é o que a demonstração pública desencadeia: um convidado pode derrubar todo o host, levando consigo todas as outras VMs daquela máquina.
O caso mais raro e pior acontece quando a página de rastreamento liberada é distribuÃda para outro uso antes que o kernel seja limpo. A limpeza então rabisca um valor na memória que não possui mais. Um invasor controla apenas onde a gravação chega, não o que é escrito, mas mesmo essa posição limitada pode ser transformada na execução do código no host.
A falha se comporta da mesma forma nos chips Intel e AMD; apenas a etapa final e mais difÃcil de transformá-lo em controle total exige um trabalho diferente em cada um.
Quem é afetado
O código vulnerável está presente desde o commit 2032a93d66fa em agosto de 2010 (era do kernel 2.6.36) e foi corrigido pelo commit 81ccda30b4e8, incorporado à linha principal em 19 de junho de 2026.
O ataque requer duas coisas do lado do convidado: raiz dentro da VM, uma condição comum em instâncias de nuvem alugadas, e virtualização aninhada exposta pelo host. Mesmo em hosts que executam hardware EPT ou NPT por padrão, a virtualização aninhada força o KVM a voltar através do MMU de sombra herdado, que é onde está o bug.
A exploração não precisa da cooperação do QEMU ou de qualquer VMM do espaço do usuário. É puramente um bug KVM no kernel.
A preocupação prática é qualquer ambiente x86 que hospede convidados não confiáveis com virtualização aninhada habilitada. Um invasor que aluga uma única instância desse tipo pode causar pânico no host, derrubando todas as outras VMs locatárias na mesma máquina fÃsica.
Kim disse que a exploração completa retida executa o código como root no host, o que exporia outros convidados na mesma máquina a esse acesso root. Em distribuições como RHEL, onde /dev/kvm é gravável mundialmente (0666), Kim observou que o mesmo bug também poderia servir como escalonamento de privilégios locais para root, embora o caminho do convidado para o host seja o uso de maior impacto.
Alguns meses ocupados para um pesquisador
Januscape é a terceira divulgação de exploração do kernel Linux de Kim em aproximadamente dois meses. Em maio de 2026, ele divulgou Dirty Frag (CVE-2026-43284 / CVE-2026-43500), uma cadeia de vulnerabilidade de gravação de cache de página que fornece raiz determinÃstica na maioria das principais distribuições, estendendo a mesma classe de bug de Dirty Pipe e Copy Fail.
Em junho, ele publicou ITScape (CVE-2026-46316), o primeiro escape de convidado para host demonstrado publicamente no KVM/arm64, explorando uma condição de corrida no controlador de interrupção virtual. Januscape agora adiciona o lado x86; o mesmo gatilho é acionado na Intel e na AMD, com o PoC carregando um caminho de código separado para cada fornecedor.
O Google lançou o kvmCTF em 2024 especificamente porque o KVM sustenta o Android e o Google Cloud. Uma paginação de sombra KVM x86 separada, uso após livre (CVE-2026-46113) envolvendo uma incompatibilidade de rmap relacionada, mas distinta, foi corrigida em maio de 2026.
Isso faz com que duas sombras MMU sejam usadas após liberação no mesmo caminho de código legado em dois meses.
O que fazer
A correção é uma adição de uma linha a kvm_mmu_get_child_sp(): a condição de reutilização agora verifica role.word junto com o gfn, portanto, uma página sombra só é reutilizada quando o número do quadro e a função correspondem. O mantenedor do KVM, Paolo Bonzini, escreveu o patch.
Versões estáveis corrigidas enviadas em 4 de julho de 2026: 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 e 5.10.260. O NVD ainda não atribuiu uma pontuação CVSS; não espere por um.
Se você operar
Chamada de ‘Januscape’ e rastreada como CVE-2026-53359, a falha está no código shadow MMU que o KVM compartilha entre Intel e AMD. A prova de conceito pública deixa o anfitrião em pânico; o pesquisador afirma que uma exploração separada e não lançada transforma o mesmo bug em execução completa do código host.
O pesquisador de segurança Hyunwoo Kim (@v4bel) encontrou e relatou o bug. Ele descreveu o Januscape como o primeiro exploit guest-to-host acionável tanto na Intel quanto na AMD, até onde é de conhecimento público. A falha passou despercebida por cerca de 16 anos.
De acordo com Kim, a exploração foi usada como envio de dia zero no kvmCTF do Google, o programa controlado de recompensa de vulnerabilidade KVM que oferece até US$ 250.000 para fugas completas de convidado para host.
Como funciona
Para executar uma máquina virtual, o KVM mantém seu próprio conjunto privado de tabelas de páginas que refletem o layout de memória do convidado. Quando precisa de uma dessas páginas de rastreamento, procura uma já existente para reutilizar.
O problema: ele os combinou apenas pelo endereço de memória e ignorou o tipo de página de rastreamento que estava capturando. Dois tipos diferentes podem compartilhar o mesmo endereço, mas realizar trabalhos completamente diferentes; portanto, o KVM às vezes reutiliza o tipo errado.
Essa confusão embaralha os registros internos do KVM sobre qual página pertence e onde, e uma vez que esses registros estão errados, algo tem que acontecer.
Na maioria das vezes, o kernel percebe a bagunça e desliga-se imediatamente para evitar danos. Essa falha é o que a demonstração pública desencadeia: um convidado pode derrubar todo o host, levando consigo todas as outras VMs daquela máquina.
O caso mais raro e pior acontece quando a página de rastreamento liberada é distribuÃda para outro uso antes que o kernel seja limpo. A limpeza então rabisca um valor na memória que não possui mais. Um invasor controla apenas onde a gravação chega, não o que é escrito, mas mesmo essa posição limitada pode ser transformada na execução do código no host.
A falha se comporta da mesma forma nos chips Intel e AMD; apenas a etapa final e mais difÃcil de transformá-lo em controle total exige um trabalho diferente em cada um.
Quem é afetado
O código vulnerável está presente desde o commit 2032a93d66fa em agosto de 2010 (era do kernel 2.6.36) e foi corrigido pelo commit 81ccda30b4e8, incorporado à linha principal em 19 de junho de 2026.
O ataque requer duas coisas do lado do convidado: raiz dentro da VM, uma condição comum em instâncias de nuvem alugadas, e virtualização aninhada exposta pelo host. Mesmo em hosts que executam hardware EPT ou NPT por padrão, a virtualização aninhada força o KVM a voltar através do MMU de sombra herdado, que é onde está o bug.
A exploração não precisa da cooperação do QEMU ou de qualquer VMM do espaço do usuário. É puramente um bug KVM no kernel.
A preocupação prática é qualquer ambiente x86 que hospede convidados não confiáveis com virtualização aninhada habilitada. Um invasor que aluga uma única instância desse tipo pode causar pânico no host, derrubando todas as outras VMs locatárias na mesma máquina fÃsica.
Kim disse que a exploração completa retida executa o código como root no host, o que exporia outros convidados na mesma máquina a esse acesso root. Em distribuições como RHEL, onde /dev/kvm é gravável mundialmente (0666), Kim observou que o mesmo bug também poderia servir como escalonamento de privilégios locais para root, embora o caminho do convidado para o host seja o uso de maior impacto.
Alguns meses ocupados para um pesquisador
Januscape é a terceira divulgação de exploração do kernel Linux de Kim em aproximadamente dois meses. Em maio de 2026, ele divulgou Dirty Frag (CVE-2026-43284 / CVE-2026-43500), uma cadeia de vulnerabilidade de gravação de cache de página que fornece raiz determinÃstica na maioria das principais distribuições, estendendo a mesma classe de bug de Dirty Pipe e Copy Fail.
Em junho, ele publicou ITScape (CVE-2026-46316), o primeiro escape de convidado para host demonstrado publicamente no KVM/arm64, explorando uma condição de corrida no controlador de interrupção virtual. Januscape agora adiciona o lado x86; o mesmo gatilho é acionado na Intel e na AMD, com o PoC carregando um caminho de código separado para cada fornecedor.
O Google lançou o kvmCTF em 2024 especificamente porque o KVM sustenta o Android e o Google Cloud. Uma paginação de sombra KVM x86 separada, uso após livre (CVE-2026-46113) envolvendo uma incompatibilidade de rmap relacionada, mas distinta, foi corrigida em maio de 2026.
Isso faz com que duas sombras MMU sejam usadas após liberação no mesmo caminho de código legado em dois meses.
O que fazer
A correção é uma adição de uma linha a kvm_mmu_get_child_sp(): a condição de reutilização agora verifica role.word junto com o gfn, portanto, uma página sombra só é reutilizada quando o número do quadro e a função correspondem. O mantenedor do KVM, Paolo Bonzini, escreveu o patch.
Versões estáveis corrigidas enviadas em 4 de julho de 2026: 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 e 5.10.260. O NVD ainda não atribuiu uma pontuação CVSS; não espere por um.
Se você operar
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #de #kvm #do #linux #de #16 #anos #permite #que #vms #convidadas #escapem #para #host #em #sistemas #intel #e #amd #x86
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário