近年来,随着网络服务的广泛部署,Linux作为服务器领域的重要操作系统,其内核安全性备受关注。ksmbd作为Linux内核中的SMB3协议实现,承担着文件共享服务的核心角色。虽然大多数SMB服务在用户空间运行,ksmbd以其内核空间实现的独特性和性能优势吸引了不少安全研究者的关注。然而,正是这种复杂性也引入了诸多安全隐患。最近,安全专家通过深入研究ksmbd的多个公开已知漏洞,成功设计出一种高稳定性(成功率超95%)的零点击远程代码执行(RCE)漏洞利用链,为内核安全研究提供了宝贵经验。零点击攻击意味着攻击者无需目标用户任何交互,便能远程完全控制系统,这种攻击广受关注且具破坏性。
ksmbd为何成为这样一个理想的攻击目标?首先,它能通过网络直接访问,扩大了攻击面。其次,ksmbd的漏洞数量多,涉及权限绕过、拒绝服务甚至远程执行代码等多个安全风险,从2022年末Thalium团队的0-click RCE漏洞报告到2023年Hrvoje Misetic和研究团队发现的远程拒绝服务漏洞,这一系列发现显示了ksmbd安全保护的薄弱环节。利用公开漏洞构造复杂链条的挑战性也反映了现代内核漏洞利用的复杂程度。此次研究聚焦于Linux 6.1.45版本(已时隔两年,带有多种安全缓解措施如SMEP、SMAP、KASLR等),从中筛选出两个具有相互配合能力的漏洞作为攻击基石。第一个漏洞是ZDI-24-229(CVE-2023-52440),涉及在ksmbd_decode_ntlmssp_auth_blob函数中的slub溢出漏洞。该漏洞通过NTLM认证阶段的SMB2_SESSION_SETUP协议触发,允许攻击者通过控制sess_key_len值溢出堆中固定大小sess_key缓冲区,引发内核堆溢出。
基于此,可以实现对内核kmalloc-512分配的堆对象的内容和大小的完全控制,这种堆溢出控制能力为后续漏洞利用阶段创造了有力条件。具体来说,通过修改Impacket库中ntlm.py文件的getNTLMSSPType3函数,使session_key字段长度可控,从而触发漏洞并实现溢出效果。第二个漏洞是ZDI-24-587(CVE-2023-4130),属于一个认证后的远程信息泄露漏洞。该漏洞来源于ksmbd处理SMB2扩展属性(EA)时对缓冲区长度校验不准确,导致攻击者能够利用边界条件以及类型混淆,诱导ksmbd读取超出预期边界的堆内存内容,并通过查询扩展属性信息的正常响应途径泄露。攻击者能借助写入可控的恶意扩展属性,对堆中的邻接数据进行泄露,从而获得ksmbd堆内存布局和关键数据。结合这两个漏洞,即攻击者拥有远程堆溢出写入能力以及堆信息读取能力,构建了写入-泄露复合的攻击原语,这为零点击RCE攻击链奠定了坚实基础。
为了形成立体的漏洞利用环境,研究者基于Impacket SMB库的扩展,在Python中实现了精巧的攻击工具,比如用于构造伪造恶意扩展属性smb2_ea_info结构的make_evil函数,用于对堆内存实施精准越界读写,并结合SMB协议的会话管理与文件操作接口实现内核堆状态调控与利用链推进。利用ksmbd中特殊的内核内存分配策略,即SLUB分配器中对kmalloc-512和kmalloc-1024大小块的分别管理,研究者展开了复杂的喷堆行为,动态调节新旧连接及会话对象周期,确保攻击时块的精准定位和数据覆盖。为了跨越不同内存分配类型块的限制,研究者精心设计攻击逻辑,从kmalloc-512堆溢出来影响kmalloc-1024块中的关键ksmbd_conn结构指针,实现了对关键对象中指向函数表(vtable)指针的任意控制,进而触发伪造的内核函数调用路径。攻击链的实施过程涉及到KSmbd的多线程工作模式,NTLM身份认证的挑战-响应协议细节以及ksmbd内部的会话及连接对象管理机制,包括ksmbd_conn(kmalloc-1k分配)和ksmbd_session(kmalloc-512分配)等结构。攻击中运用了会话并发喷堆、会话标识追踪、堆状态快速泄露以及巧妙的函数指针劫持技术。堆喷射与泄露是利用链的核心环节之一,通过对ksmbd的会话连接和请求操作实现对内核堆内存的精准探测和控制,让攻击者能定位有效的堆对象以保障攻击稳定执行。
在攻击链的最后阶段,利用任意释放即工具释放溢出后的关键指针,研究者完成ksmbd_conn对象的堆内存复用,成功将指针指向伪造的nls_table虚函数表,借助内核ROP链完成了对call_usermodehelper函数的调用,从而跳出内核进入用户空间,实现反弹shell,达到远程代码执行的目的。值得注意的是,为了避免内核崩溃以及保持利用过程的稳定性,研究者进行多轮喷堆及连接状态管理,巧妙最大限度地利用内核分配器的分配与回收时机,同时在多核CPU环境下的利用稳定性受到一定影响,提示未来相关研究应重点关注内核多核同步对利用效果的影响。ksmbd本身由于较少在生产环境大规模部署,短期内影响面相对有限,但此次研究对理解内核网络服务安全边界、提升内核漏洞利用技艺具有重要示范意义。相关公开的利用链和PoC代码为安全研究者和防御者提供了对该漏洞的全面认知和研判能力,也强化了内核空间网络协议服务的加固必要性。此次创新的0-click RCE链从两种公开已知Cs的漏洞起步,依托内核变量精细的堆喷射、堆溢出和堆泄露阶段,横跨内核内存分配单元,实现了超高成功率的远程攻击。其技术难度体现了现代内核利用的新标杆,里面包含了覆盖对象跨堆型溢出、误用自由、利用函数指针钩子劫持、ROP链构造等多项高级技术。
研究人员也坦言此实验更多作为学术探索而非野外攻击示例,但已经为业界构建了更深层的内核攻击技术基线和漏洞防护思路。未来,对ksmbd及其它内核网络子系统的动态检测、内存隔离策略加强以及多维度访问异常防护机制,将是防范类似攻击的重点方向。总的来看,这一漏洞链展现了Linux内核复杂组件中多样化漏洞存在的现实风险,也证明了复合型漏洞利用链的实用价值。作为内核与协议安全研究者,理解其原理和细节,有助于提升漏洞研究方法论、推进内核安全防护以及为未来发现更具挑战性的零点击攻击链打下基础。在后续的安全实践中,系统管理员应严格审视并限制ksmbd服务的启用及权限范围,同时强化网络访问控制,减少潜在暴露面。企业级安全团队亦需持续关注开源内核子系统漏洞动态,及时应用补丁并加强异常行为监测。
通过本文详尽的技术剖析和绕过策略介绍,业内安全开发者、漏洞研究员将获得重要启示,深化对零点击漏洞利用复杂流程及内核安全防御机制的掌握,助力构建更加坚固的Linux内核安全生态。 。
