POSIX CPU Timers TOCTOU race (CVE-2025-38352)

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Diese Seite dokumentiert eine TOCTOU race condition in Linux/Android POSIX CPU timers, die Timerzustände korruptieren und den Kernel zum Absturz bringen kann und unter bestimmten Umständen in Richtung Privilegieneskalation gelenkt werden kann.

  • Betroffene Komponente: kernel/time/posix-cpu-timers.c
  • Primitive: expiry vs deletion race under task exit
  • Konfigurationsabhängig: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)

Kurze Interna-Zusammenfassung (relevant für die Ausnutzung)

  • Drei CPU clocks treiben die Accounting für Timer via cpu_clock_sample() an:
  • CPUCLOCK_PROF: utime + stime
  • CPUCLOCK_VIRT: nur utime
  • CPUCLOCK_SCHED: task_sched_runtime()
  • Beim Erstellen eines Timers wird ein timer an eine task/pid gebunden und die timerqueue nodes initialisiert:
static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
rcu_read_lock();
pid = pid_for_clock(new_timer->it_clock, false);
if (!pid) { rcu_read_unlock(); return -EINVAL; }
new_timer->kclock = &clock_posix_cpu;
timerqueue_init(&new_timer->it.cpu.node);
new_timer->it.cpu.pid = get_pid(pid);
rcu_read_unlock();
return 0;
}
  • Beim Arming wird in eine per-base timerqueue eingefügt und möglicherweise der next-expiry cache aktualisiert:
static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
struct cpu_timer *ctmr = &timer->it.cpu;
u64 newexp = cpu_timer_getexpires(ctmr);
if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}
  • Fast path vermeidet teure Verarbeitung, es sei denn, zwischengespeicherte Ablaufzeiten deuten auf ein mögliches Auslösen hin:
static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
if (!expiry_cache_is_inactive(pct)) {
u64 samples[CPUCLOCK_MAX];
task_sample_cputime(tsk, samples);
if (task_cputimers_expired(samples, pct))
return true;
}
return false;
}
  • Ablauf sammelt abgelaufene Timer, markiert sie als ausgelöst, entfernt sie aus der Warteschlange; die eigentliche Zustellung wird aufgeschoben:
#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
struct list_head *firing, u64 now) {
struct timerqueue_node *next; int i = 0;
while ((next = timerqueue_getnext(head))) {
struct cpu_timer *ctmr = container_of(next, struct cpu_timer, node);
u64 expires = cpu_timer_getexpires(ctmr);
if (++i == MAX_COLLECTED || now < expires) return expires;
ctmr->firing = 1;                           // critical state
rcu_assign_pointer(ctmr->handling, current);
cpu_timer_dequeue(ctmr);
list_add_tail(&ctmr->elist, firing);
}
return U64_MAX;
}

Zwei Ablaufverarbeitungsmodi

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: Die Ablaufverarbeitung wird mittels task_work auf die Ziel-Task verschoben
  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: Ablauf wird direkt im IRQ-Kontext verarbeitet
void run_posix_cpu_timers(void) {
struct task_struct *tsk = current;
__run_posix_cpu_timers(tsk);
}
#ifdef CONFIG_POSIX_CPU_TIMERS_TASK_WORK
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
if (WARN_ON_ONCE(tsk->posix_cputimers_work.scheduled)) return;
tsk->posix_cputimers_work.scheduled = true;
task_work_add(tsk, &tsk->posix_cputimers_work.work, TWA_RESUME);
}
#else
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
lockdep_posixtimer_enter();
handle_posix_cpu_timers(tsk);                  // IRQ-context path
lockdep_posixtimer_exit();
}
#endif

Im IRQ-context-Pfad wird die firing list außerhalb von sighand verarbeitet.

static void handle_posix_cpu_timers(struct task_struct *tsk) {
struct k_itimer *timer, *next; unsigned long flags, start;
LIST_HEAD(firing);
if (!lock_task_sighand(tsk, &flags)) return;   // may fail on exit
do {
start = READ_ONCE(jiffies); barrier();
check_thread_timers(tsk, &firing);
check_process_timers(tsk, &firing);
} while (!posix_cpu_timers_enable_work(tsk, start));
unlock_task_sighand(tsk, &flags);              // race window opens here
list_for_each_entry_safe(timer, next, &firing, it.cpu.elist) {
int cpu_firing;
spin_lock(&timer->it_lock);
list_del_init(&timer->it.cpu.elist);
cpu_firing = timer->it.cpu.firing;         // read then reset
timer->it.cpu.firing = 0;
if (likely(cpu_firing >= 0)) cpu_timer_fire(timer);
rcu_assign_pointer(timer->it.cpu.handling, NULL);
spin_unlock(&timer->it_lock);
}
}

Root cause: TOCTOU zwischen IRQ-Zeitablauf und gleichzeitiger Löschung während der Task-Beendigung

Preconditions

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK ist deaktiviert (IRQ-Pfad in Benutzung)
  • Die Ziel-Task beendet sich, wurde aber noch nicht vollständig reaped
  • Ein anderer Thread ruft gleichzeitig posix_cpu_timer_del() für denselben Timer auf

Sequence

  1. update_process_times() löst run_posix_cpu_timers() im IRQ-Kontext für die beendende Task aus.
  2. collect_timerqueue() setzt ctmr->firing = 1 und verschiebt den Timer in die temporäre firing-Liste.
  3. handle_posix_cpu_timers() gibt sighand via unlock_task_sighand() frei, um Timer außerhalb des Locks zu liefern.
  4. Unmittelbar nach dem Unlock kann die beendende Task reaped werden; ein Geschwister-Thread führt posix_cpu_timer_del() aus.
  5. In diesem Fenster kann posix_cpu_timer_del() scheitern, den Zustand via cpu_timer_task_rcu()/lock_task_sighand() zu übernehmen und überspringt dadurch die normale in-flight guard, die timer->it.cpu.firing prüft. Die Löschung erfolgt, als ob nicht firing, was den Zustand während der Ablaufbehandlung korruptiert und zu Abstürzen/UB führt.

Why TASK_WORK mode is safe by design

  • Mit CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y wird der Ablauf auf task_work verschoben; exit_task_work läuft vor exit_notify, daher tritt die IRQ-Zeit-Überlappung mit dem Reaping nicht auf.
  • Selbst dann, wenn sich die Task bereits beendet, schlägt task_work_add() fehl; die Abhängigkeit von exit_state macht beide Modi konsistent.

Fix (Android common kernel) and rationale

  • Füge eine frühe Rückgabe hinzu, wenn die aktuelle Task sich beendet (exiting), und unterbrich damit die gesamte Verarbeitung:
// kernel/time/posix-cpu-timers.c (Android common kernel commit 157f357d50b5038e5eaad0b2b438f923ac40afeb)
if (tsk->exit_state)
return;
  • Dies verhindert das Betreten von handle_posix_cpu_timers() für Tasks, die gerade beenden, und eliminiert so das Zeitfenster, in dem posix_cpu_timer_del() it.cpu.firing übersehen und mit der Ablaufverarbeitung in eine Race-Bedingung geraten könnte.

Auswirkung

  • Eine Beschädigung des Kernel-Speichers von Timer-Strukturen während gleichzeitiger Ablauf-/Löschvorgänge kann zu sofortigen Abstürzen (DoS) führen und ist eine starke Primitive zur Privilegieneskalation, da sie Möglichkeiten zur willkürlichen Manipulation des Kernel-Zustands bietet.

Auslösen des Bugs (sichere, reproduzierbare Bedingungen) Build/config

  • Stelle sicher, dass CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n gesetzt ist und verwende einen Kernel ohne den exit_state-Gating-Fix.

Laufzeitstrategie

  • Wähle einen Thread an, der kurz vor dem Beenden steht, und hänge einen CPU-Timer daran (pro Thread oder prozessweite Clock):
  • Für pro Thread: timer_create(CLOCK_THREAD_CPUTIME_ID, …)
  • Für prozessweit: timer_create(CLOCK_PROCESS_CPUTIME_ID, …)
  • Setze den Timer mit einer sehr kurzen initialen Ablaufzeit und kleinem Intervall, um die Einträge im IRQ-Pfad zu maximieren:
static timer_t t;
static void setup_cpu_timer(void) {
struct sigevent sev = {0};
sev.sigev_notify = SIGEV_SIGNAL;    // delivery type not critical for the race
sev.sigev_signo = SIGUSR1;
if (timer_create(CLOCK_THREAD_CPUTIME_ID, &sev, &t)) perror("timer_create");
struct itimerspec its = {0};
its.it_value.tv_nsec = 1;           // fire ASAP
its.it_interval.tv_nsec = 1;        // re-fire
if (timer_settime(t, 0, &its, NULL)) perror("timer_settime");
}
  • Von einem sibling thread aus gleichzeitig denselben timer löschen, während der target thread beendet wird:
void *deleter(void *arg) {
for (;;) (void)timer_delete(t);     // hammer delete in a loop
}
  • Race amplifiers: hohe Scheduler-Tick-Rate, CPU-Last, wiederholte Thread-Exit/Recreate-Zyklen. Der Crash tritt typischerweise auf, wenn posix_cpu_timer_del() versäumt, ein Firing zu bemerken, weil die Task-Lookup/Locking direkt nach unlock_task_sighand() fehlschlägt.

Erkennung und Härtung

  • Gegenmaßnahmen: apply the exit_state guard; bevorzugt das Aktivieren von CONFIG_POSIX_CPU_TIMERS_TASK_WORK, wenn möglich.
  • Beobachtbarkeit: tracepoints/WARN_ONCE um unlock_task_sighand()/posix_cpu_timer_del() hinzufügen; alarmieren, wenn it.cpu.firing==1 zusammen mit fehlgeschlagenem cpu_timer_task_rcu()/lock_task_sighand() beobachtet wird; auf Inkonsistenzen in der timerqueue rund um den task exit achten.

Audit-Hotspots (für Reviewer)

  • update_process_times() → run_posix_cpu_timers() (IRQ)
  • __run_posix_cpu_timers() Auswahl (TASK_WORK vs IRQ path)
  • collect_timerqueue(): setzt ctmr->firing und verschiebt Nodes
  • handle_posix_cpu_timers(): droppt sighand vor der firing-Schleife
  • posix_cpu_timer_del(): verlässt sich auf it.cpu.firing, um in-flight Expiry zu erkennen; diese Prüfung wird übersprungen, wenn Task-Lookup/Lock während Exit/Reap fehlschlägt

Hinweise für Exploit-Forschung

  • Das offengelegte Verhalten ist ein zuverlässiges kernel crash primitive; um es in eine privilege escalation zu verwandeln, benötigt man typischerweise eine zusätzliche kontrollierbare Überlappung (object lifetime oder write-what-where influence), die über den Umfang dieser Zusammenfassung hinausgeht. Behandle jede PoC als potenziell destabilisierend und führe sie nur in emulators/VMs aus.

Siehe auch

Ksmbd Streams Xattr Oob Write Cve 2025 37947

Referenzen

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks