Andreas Konowalow Google Software Engineer, stellte eine Methode vor, mit der der Schutz aus der Ferne deaktiviert werden kann Standbildaufnahme angeboten im Linux-Kernel in Ubuntu. Mit welchem zeigt, dass Schutzmethoden unwirksam sindAußerdem erwähnt er, dass die Methoden, die er theoretisch offengelegt hat, auch mit dem Fedora-Kernel und anderen Distributionen funktionieren sollten (aber nicht getestet wurden).
Für diejenigen, die Lockdown nicht kennen, Sie sollten wissen, dass dies eine Komponente des Linux-Kernels ist Seine Hauptfunktion besteht darin, den Zugriff des Root-Benutzers auf den Kernel des Systems zu beschränken und diese Funktionalität wurde in das LSM-Modul verschoben optional geladen (Linux Security Module), die stellt eine Barriere zwischen UID 0 und dem Kernel her, bestimmte Funktionen auf niedriger Ebene einschränken.
Auf diese Weise kann die Sperrfunktion richtlinienbasiert sein, anstatt eine implizite Richtlinie innerhalb des Mechanismus fest zu codieren. Die im Linux-Sicherheitsmodul enthaltene Sperre bietet daher eine Implementierung mit einer einfachen Richtlinie für den allgemeinen Gebrauch bestimmt. Diese Richtlinie bietet eine Granularitätsstufe, die über die Kernel-Befehlszeile gesteuert werden kann.
Über die Sperrung
Die Sperre beschränkt den Root-Zugriff auf den Kernel und blockiert UEFI-sichere Boot-Bypass-Pfade.
Im Sperrmodus sind beispielsweise der Zugriff auf / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kprobes im Debug-Modus, mmiotrace, tracefs, BPF und PCMCIA CIS unter anderem einige Schnittstellen begrenzt sowie die ACPI- und MSR-Register der CPU.
Während die Aufrufe kexec_file und kexec_load gesperrt sind, ist der Ruhemodus verboten, die Verwendung von DMA für PCI-Geräte ist eingeschränkt, das Importieren von ACPI-Code aus EFI-Variablen ist verboten, und Manipulationen mit Eingabe- / Ausgabeports, einschließlich der Änderung der Interrupt-Nummer und eines I. / O-Port für den seriellen Port.
Wie einige vielleicht wissen, ist der Mechanismus von Lockdown wurde in Linux Kernel 5.4 hinzugefügt, Es wird jedoch weiterhin in Form von Patches implementiert oder durch Patches auf den mit den Distributionen gelieferten Kerneln ergänzt.
Hier besteht einer der Unterschiede zwischen den in den Distributionen bereitgestellten Plugins und der Implementierung des eingebetteten Kernels in der Möglichkeit, die Sperre zu deaktivieren, die bereitgestellt wird, wenn physischer Zugriff auf das System besteht.
Ubuntu und Fedora verwenden die Tastenkombination Alt + SysRq + X. um die Sperre zu deaktivieren. Es versteht sich, dass die Kombination Alt + SysRq + X. Es kann nur mit physischem Zugriff auf das Gerät verwendet werden. Im Falle eines Remote-Angriffs und eines Root-Zugriffs kann der Angreifer die Sperre nicht deaktivieren.
Die Sperrung kann remote deaktiviert werden
Andrei Konovalov hat das bewiesen tastaturbezogene Methoden für Die Bestätigung der physischen Anwesenheit eines Benutzers ist unwirksam.
él offenbarte, dass der einfachste Weg, die Sperre zu deaktivieren, die Simulation wäre drücken Alt + SysRq + X. durch / dev / uinput, aber diese Option ist zunächst gesperrt.
Aber mindestens zwei weitere Möglichkeiten zum Ersetzen Alt + SysRq + X..
- Die erste Methode beinhaltet die Verwendung der Schnittstelle sysrq-Trigger: Um zu simulieren, aktivieren Sie einfach diese Schnittstelle, indem Sie "1" eingeben / proc / sys / kernel / sysrq und dann "x" eingeben / proc / sysrq-trigger.
Diese Lücke wurde im Ubuntu-Kernel-Update vom Dezember und in Fedora 31 behoben. Es ist bemerkenswert, dass Entwickler, wie im Fall von / dev / uinputSie versuchten zunächst, diese Methode zu blockieren, aber die Blockierung funktionierte aufgrund eines Fehlers im Code nicht. - Die zweite Methode besteht darin, die Tastatur über USB / IP zu emulieren und dann die Alt + SysRq + X-Sequenz von der virtuellen Tastatur zu senden.
Im Kernel ist USB / IP von Ubuntu standardmäßig aktiviert und die Module usbip_core y vhci_hcd Notwendige sind mit der erforderlichen digitalen Signatur versehen.
Ein Angreifer kann ein virtuelles USB-Gerät erstellen, indem er einen Netzwerkcontroller auf der Loopback-Schnittstelle ausführt und es über USB / IP als Remote-USB-Gerät verbindet.
Die angegebene Methode wurde den Ubuntu-Entwicklern gemeldet, eine Lösung wurde jedoch noch nicht veröffentlicht.
Quelle: https://github.com