LD_PRELOAD / LD_LIBRARY_PATH hijacking
sudo -l permite ejecutar programa con env_keep+=“LD_PRELOAD”.
Categoría: Linux · Privilege Escalation 🎯 Trinchera —sudo -l permite ejecutar programa con
env_keep+="LD_PRELOAD". Compilas una .so con función
constructor maliciosa, defines LD_PRELOAD=/tmp/evil.so, ejecutas
el sudo. Tu lib se carga primero como root.
🔗 Kill chain — Enumerar Defaults env_keep en sudoers. Si
incluye LD_PRELOAD o LD_LIBRARY_PATH (más raro), explotación
trivial.
📡 Huella defensiva — Auditd sobre open() de archivos .so
desde /tmp por procesos elevados.
⚠️ Falso amigo — LD_PRELOAD se ignora en binarios SUID por
defecto (a menos que env_keep lo permita explícitamente).
🛡️ Remediación — Auditar Defaults env_keep en sudoers y
quitar LD_PRELOAD y LD_LIBRARY_PATH.
← Volver al glosario completo Última actualización: 2026-06-11