Andrey konovalov Google softwaretekniker, afsløret en metode til ekstern deaktivering af beskyttelse mod Lockdown tilbydes i Linux-kernen leveret i Ubuntu. Med hvilken viser, at beskyttelsesmetoder er ineffektive, plus nævner han også, at de metoder, han teoretisk afslørede, også skal arbejde med Fedora-kernen og andre distributioner (men ikke er blevet testet).
For dem der ikke er opmærksomme på Lockdown, de skal vide, at det er en komponent i Linux-kernen, der Dens vigtigste funktion er at begrænse adgangen til rodbrugeren i systemets kerne og denne funktionalitet er flyttet til LSM-modulet valgfrit indlæst (Linux Security Module), hvilket etablerer en barriere mellem UID 0 og kernen, begrænser visse funktioner på lavt niveau.
Dette gør det muligt for lockout-funktionen at være politikbaseret snarere end at hårdkode en implicit politik inden for mekanismen, så låsen inkluderet i Linux sikkerhedsmodul giver en implementering med en simpel politik beregnet til generel brug. Denne politik giver et granularitetsniveau, der kan styres via kernekommandolinjen.
Om låsning
Låsen begrænser rodadgang til kernen og blokerer UEFI-sikker bypass-stier.
For eksempel i låsemodus er adgang til / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debug mode kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, blandt andre, nogle grænseflader er begrænset såvel som ACPI- og MSR-registre for CPU'en.
Mens opkald til kexec_file og kexec_load er låst, er dvaletilstand forbudt, brug af DMA til PCI-enheder er begrænset, import af ACPI-kode fra EFI-variabler er forbudt, og manipulationer med input / output-porte, herunder ændringen af interruptnummeret og et I / O-port til den serielle port.
Som nogle måske ved, er mekanismen for lockdown blev tilføjet i Linux-kerne 5.4, men det implementeres stadig i form af programrettelser eller suppleres med programrettelser på kernerne, der leveres med distributionerne.
Her er en af forskellene mellem de plugins, der leveres i distributionerne, og den integrerede kerneimplementering muligheden for at deaktivere den lås, der leveres, når der er fysisk adgang til systemet.
Ubuntu og Fedora bruger tastekombinationen Alt + SysRq + X for at deaktivere låsen. Det forstås, at kombinationen Alt + SysRq + X den kan kun bruges med fysisk adgang til enheden, og i tilfælde af fjernangreb og rootadgang kan angriberen ikke deaktivere låsen.
Låsning kan deaktiveres eksternt
Andrei Konovalov beviste det tastaturrelaterede metoder til Bekræftelse af en brugers fysiske tilstedeværelse er ineffektive.
det afslørede, at den nemmeste måde at deaktivere låsen på ville være at simulere trykke Alt + SysRq + X igennem / dev / uinput, men denne indstilling er oprindeligt blokeret.
Men mindst to måder at erstatte Alt + SysRq + X.
- Den første metode involverer brug af grænsefladen sysrq-trigger: for at simulere skal du bare aktivere denne grænseflade ved at skrive "1" / proc / sys / kerne / sysrq og derefter skrive "x" / proc / sysrq-trigger.
Dette hul blev løst i Ubuntu-kernelopdateringen i december og i Fedora 31. Det er bemærkelsesværdigt, at udviklere, som i tilfældet med / dev / uinputDe forsøgte oprindeligt at blokere denne metode, men blokeringen fungerede ikke på grund af en fejl i koden. - Den anden metode er at emulere tastaturet via USB / IP og derefter sende Alt + SysRq + X-sekvensen fra det virtuelle tastatur.
I kernen er USB / IP leveret af Ubuntu aktiveret som standard og modulerne usbip_core y vhci_hcd nødvendige er forsynet med den krævede digitale signatur.
En hacker kan oprette en virtuel USB-enhed ved at køre en netværkscontroller på loopback-grænsefladen og forbinde den som en ekstern USB-enhed ved hjælp af USB / IP.
Den angivne metode er blevet rapporteret til Ubuntu-udviklerne, men en løsning er endnu ikke frigivet.
kilde: https://github.com