Αντρέι Κονοβάλοφ Μηχανικός λογισμικού Google, αποκάλυψε μια μέθοδο για την απενεργοποίηση της προστασίας από απόσταση κλείδωμα προσφέρεται στον πυρήνα Linux που παρέχεται στο Ubuntu. Με την οποία δείχνει ότι οι μέθοδοι προστασίας είναι αναποτελεσματικές, συν αναφέρει επίσης ότι οι μέθοδοι που αποκάλυψε θεωρητικά πρέπει να λειτουργούν με τον πυρήνα Fedora και άλλες διανομές, (αλλά δεν έχουν δοκιμαστεί).
Για όσους δεν γνωρίζουν το Lockdown, πρέπει να γνωρίζουν ότι είναι ένα στοιχείο του πυρήνα Linux Η κύρια λειτουργία του είναι να περιορίσει την πρόσβαση του ριζικού χρήστη στον πυρήνα του συστήματος και αυτή η λειτουργικότητα έχει μετακινηθεί στη μονάδα LSM προαιρετικά φορτωμένο (Linux Security Module), το οποίο δημιουργεί ένα φράγμα μεταξύ του UID 0 και του πυρήνα, περιορίζοντας ορισμένες λειτουργίες χαμηλού επιπέδου.
Αυτό επιτρέπει στη λειτουργία κλειδώματος να βασίζεται σε πολιτική και όχι σε σκληρή κωδικοποίηση μιας σιωπηρής πολιτικής εντός του μηχανισμού, έτσι το κλείδωμα που περιλαμβάνεται στο Linux Security Module παρέχει μια εφαρμογή με μια απλή πολιτική προορίζονται για γενική χρήση. Αυτή η πολιτική παρέχει ένα επίπεδο ευαισθησίας που ελέγχεται μέσω της γραμμής εντολών του πυρήνα.
Σχετικά με το κλείδωμα
Το κλείδωμα περιορίζει την πρόσβαση ρίζας στον πυρήνα και αποκλείει διαδρομές παράκαμψης ασφαλούς εκκίνησης UEFI.
Για παράδειγμα, σε λειτουργία κλειδώματος, η πρόσβαση στο / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kprobes mode debug, mmiotrace, tracefs, BPF, PCMCIA CIS, μεταξύ άλλων, ορισμένες διεπαφές είναι περιορισμένη καθώς και τα μητρώα ACPI και MSR της CPU.
Ενώ οι κλήσεις kexec_file και kexec_load είναι κλειδωμένες, απαγορεύεται η κατάσταση αναστολής λειτουργίας, η χρήση DMA για συσκευές PCI είναι περιορισμένη, απαγορεύεται η εισαγωγή κωδικού ACPI από μεταβλητές EFI και χειρισμοί με θύρες εισόδου / εξόδου, συμπεριλαμβανομένης της αλλαγής του αριθμού διακοπής και ενός I / O θύρα για τη σειριακή θύρα.
Όπως γνωρίζουν ορισμένοι, ο μηχανισμός του Το κλείδωμα προστέθηκε στον πυρήνα Linux 5.4, αλλά εξακολουθεί να εφαρμόζεται με τη μορφή μπαλωμάτων ή να συμπληρώνεται από μπαλώματα στους πυρήνες που παρέχονται με τις διανομές.
Εδώ, μία από τις διαφορές μεταξύ των προσθηκών που παρέχονται στις διανομές και της υλοποίησης του ενσωματωμένου πυρήνα είναι η δυνατότητα απενεργοποίησης της κλειδαριάς που παρέχεται όταν υπάρχει φυσική πρόσβαση στο σύστημα.
Το Ubuntu και το Fedora χρησιμοποιούν τον συνδυασμό πλήκτρων Alt + SysRq + X για να απενεργοποιήσετε το κλείδωμα. Είναι κατανοητό ότι ο συνδυασμός Alt + SysRq + X Μπορεί να χρησιμοποιηθεί μόνο με φυσική πρόσβαση στη συσκευή και σε περίπτωση απομακρυσμένης επίθεσης και πρόσβασης root, ο εισβολέας δεν θα μπορεί να απενεργοποιήσει το κλείδωμα.
Το κλείδωμα μπορεί να απενεργοποιηθεί εξ αποστάσεως
Ο Andrei Konovalov το απέδειξε μέθοδοι που σχετίζονται με πληκτρολόγιο για Η επιβεβαίωση της φυσικής παρουσίας ενός χρήστη είναι αναποτελεσματική.
Αυτός αποκάλυψε ότι ο ευκολότερος τρόπος απενεργοποίησης της κλειδαριάς θα ήταν η προσομοίωση τύπος Alt + SysRq + X μέσω / dev / uinput, αλλά αυτή η επιλογή είναι αρχικά αποκλεισμένη.
αλλά, τουλάχιστον δύο ακόμη τρόποι αντικατάστασης Alt + SysRq + X.
- Η πρώτη μέθοδος περιλαμβάνει τη χρήση της διεπαφής sysrq-σκανδάλη: για προσομοίωση, απλώς ενεργοποιήστε αυτήν τη διεπαφή πληκτρολογώντας "1" στο / proc / sys / kernel / sysrq και στη συνέχεια πληκτρολογώντας "x" μέσα / proc / sysrq-trigger.
Αυτό το κενό διορθώθηκε στην ενημέρωση του πυρήνα του Ubuntu του Δεκεμβρίου και στο Fedora 31. Αξίζει να σημειωθεί ότι οι προγραμματιστές, όπως στην περίπτωση του / dev / uinput, αρχικά προσπάθησαν να αποκλείσουν αυτήν τη μέθοδο, αλλά ο αποκλεισμός δεν λειτούργησε λόγω σφάλματος στον κώδικα. - Η δεύτερη μέθοδος είναι η εξομοίωση του πληκτρολογίου μέσω USB / IP και στη συνέχεια η αποστολή της ακολουθίας Alt + SysRq + X από το εικονικό πληκτρολόγιο.
Στον πυρήνα, το USB / IP που παρέχεται από το Ubuntu είναι ενεργοποιημένο από προεπιλογή και τα modules usbip_core y vhci_hcd απαραίτητο παρέχονται με την απαιτούμενη ψηφιακή υπογραφή.
Ένας εισβολέας μπορεί να δημιουργήσει μια εικονική συσκευή USB εκτελώντας έναν ελεγκτή δικτύου στη διεπαφή loopback και συνδέοντάς τον ως μια απομακρυσμένη συσκευή USB χρησιμοποιώντας USB / IP.
Η καθορισμένη μέθοδος έχει αναφερθεί στους προγραμματιστές του Ubuntu, αλλά δεν έχει ακόμη κυκλοφορήσει μια λύση.
πηγή: https://github.com