Saltar al contenido principal

LD_PRELOAD / LD_LIBRARY_PATH hijacking

sudo -l permite ejecutar programa con env_keep+=“LD_PRELOAD”.

Categoría: Linux · Privilege Escalation 🎯 Trincherasudo -l permite ejecutar programa con env_keep+="LD_PRELOAD". Compilas una .so con función constructor maliciosa, defines LD_PRELOAD=/tmp/evil.so, ejecutas el sudo. Tu lib se carga primero como root. 🔗 Kill chain — Enumerar Defaults env_keep en sudoers. Si incluye LD_PRELOAD o LD_LIBRARY_PATH (más raro), explotación trivial. 📡 Huella defensiva — Auditd sobre open() de archivos .so desde /tmp por procesos elevados. ⚠️ Falso amigoLD_PRELOAD se ignora en binarios SUID por defecto (a menos que env_keep lo permita explícitamente). 🛡️ Remediación — Auditar Defaults env_keep en sudoers y quitar LD_PRELOAD y LD_LIBRARY_PATH.

Volver al glosario completo Última actualización: 2026-06-11