Andrei Konovalov Google'i tarkvarainsener, tutvustas meetodit, mille abil saab eemalt kaitsta lukustamine pakutakse Ubuntu pakutavas Linuxi kernelis. Millega näitab, et kaitsemeetodid on ebaefektiivsed, pluss ta mainib ka, et tema teoreetiliselt avaldatud meetodid peaksid töötama ka Fedora tuuma ja muude jaotustega (kuid neid pole testitud).
Neile, kes pole lukustamisest teadlikud, nad peaksid teadma, et see on Linuxi tuuma komponent Selle peamine ülesanne on piirata juurkasutaja juurdepääsu süsteemi tuumale ja see funktsionaalsus on teisaldatud LSM-moodulisse valikuliselt laaditud (Linuxi turvamoodul), mis loob tõkke UID 0 ja kerneli vahel, piirates teatud madala taseme funktsioone.
See võimaldab blokeerimisfunktsioonil põhineda pigem poliitikal kui kaudsel viisil poliitika kodeerimisel nii et Linuxi turvamoodulisse kuuluv lukk pakub lihtsa poliitikaga rakendust mõeldud üldiseks kasutamiseks. See reegel tagab üksikasjalikkuse taseme, mida saab kontrollida tuuma käsurea kaudu.
Teave lukustuse kohta
Lukk piirab juurjuurdepääsu kernelile ja blokeerib UEFI turvalise alglaadimise möödaviigu teed.
Näiteks lukustusrežiimis on juurdepääs / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, silumisrežiimi kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS. piiratud, samuti protsessori ACPI ja MSR registrid.
Kuigi kõned kexec_file ja kexec_load on lukustatud, on unerežiim keelatud, DMA kasutamine PCI-seadmete jaoks on piiratud, ACPI-koodi importimine EFI muutujatest ja manipuleerimine sisend- / väljundportidega, sealhulgas katkestusnumbri ja I muutmine / O-port jadapordi jaoks.
Nagu mõned võivad teada, on selle mehhanism lukustus lisati Linuxi kernelis 5.4, kuid seda rakendatakse endiselt plaastrite kujul või täiendatakse jaotustega varustatud tuumade plaastritega.
Siin on üks erinevusi jaotustes pakutavate pistikprogrammide ja manustatud kerneli rakendamise vahel võime keelata lukk, kui süsteemile on füüsiline juurdepääs.
Ubuntu ja Fedora kasutavad võtmekombinatsiooni Alt + SysRq + X luku blokeerimiseks. On arusaadav, et kombinatsioon Alt + SysRq + X seda saab kasutada ainult seadmele füüsilise juurdepääsuga ning kaugrünnaku ja juurjuurdepääsu korral ei saa ründaja lukku keelata.
Lukustuse saab eemalt keelata
Andrei Konovalov tõestas seda klaviatuuriga seotud meetodid kasutaja füüsilise kohaloleku kinnitamine on ebaefektiivne.
Tema avalikustas, et lihtsaim viis lukustuse keelamiseks oleks simuleerimine vajutage Alt + SysRq + X läbi / dev / uinput, kuid see valik on algselt blokeeritud.
Kuid veel vähemalt kaks asendusviisi Alt + SysRq + X.
- Esimene meetod hõlmab liidese kasutamist sysrq-päästik: simuleerimiseks lubage lihtsalt see liides, tippides "1" / proc / sys / kernel / sysrq ja seejärel sisestage "x" / proc / sysrq-trigger.
See lünk fikseeriti detsembri Ubuntu kerneli värskenduses ja Fedora 31-s. On märkimisväärne, et arendajad, nagu ka / dev / uinput, proovisid nad algselt seda meetodit blokeerida, kuid blokeerimine ei õnnestunud koodi vea tõttu. - Teine meetod on klaviatuuri jäljendamine USB / IP kaudu ja seejärel Alt + SysRq + X järjestuse saatmine virtuaalsest klaviatuurist.
Tuumas on Ubuntu tarnitud USB / IP vaikimisi lubatud ja moodulid usbip_core y vhci_hcd vajaliku digitaalallkirjaga.
Ründaja saab luua virtuaalse USB-seadme, käivitades loopback-liidesel võrgukontrolleri ja ühendades selle USB-kaugseadmena, kasutades USB / IP-d.
Määratud meetodist on teatatud Ubuntu arendajatele, kuid lahendust pole veel välja antud.
allikas: https://github.com