Andrej Konovalov Googleov softverski inženjer, je predstavio metodu za daljinsko onemogućavanje zaštite od zaključavanje nudi se u jezgri Linuxa isporučenoj u Ubuntuu. Sa kojim pokazuje da su metode zaštite neučinkovite, plus također spominje da bi metode koje je teoretski otkrio trebale raditi s Fedora jezgrom i ostalim distribucijama, (ali nisu testirane).
Za one koji nisu svjesni zaključavanja, trebali bi znati da je to komponenta Linux jezgre koja Njegova glavna funkcija je ograničiti pristup root korisnika u jezgri sustava i ovu funkcionalnost je premješten u LSM modul po želji učitan (Linux sigurnosni modul), koji uspostavlja prepreku između UID 0 i jezgre, ograničavajući određene funkcije niske razine.
To omogućuje da se funkcija zaključavanja temelji na pravilima, a ne da kodira implicitnu politiku unutar mehanizma, tako brava uključena u Linux sigurnosni modul pruža implementaciju s jednostavnim pravilima namijenjena općoj uporabi. Ovo pravilo pruža razinu granulacije kojom se može upravljati putem naredbenog retka jezgre.
O zaključavanju
Zaključavanje ograničava root pristup kernelu i blokira UEFI sigurne putove zaobilaženja dizanja.
Primjerice, u načinu zaključavanja, pristup / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kprobes modu otklanjanja pogrešaka, mmiotrace, tracefs, BPF, PCMCIA CIS, između ostalog, neka su sučelja ograničena kao i ACPI i MSR registri CPU-a.
Dok su pozivi kexec_file i kexec_load blokirani, način mirovanja je zabranjen, upotreba DMA-a za PCI uređaje ograničena, uvoz ACPI koda iz EFI varijabli zabranjen i manipulacije ulaznim / izlaznim priključcima, uključujući promjenu broja prekida i I / O priključak za serijski port.
Kao što neki možda znaju, mehanizam zaključavanje je dodano u Linux kernel 5.4, ali se i dalje provodi u obliku zakrpa ili nadopunjuje zakrpama na jezgrama isporučenim s distribucijama.
Ovdje je jedna od razlika između dodataka predviđenih u distribucijama i implementacije ugrađenog jezgra mogućnost onemogućavanja zaključavanja ako postoji fizički pristup sustavu.
Ubuntu i Fedora koriste kombinaciju tipki Alt + SysRq + X da biste onemogućili zaključavanje. Podrazumijeva se da kombinacija Alt + SysRq + X može se koristiti samo s fizičkim pristupom uređaju, a u slučaju daljinskog napada i root pristupa, napadač neće moći onemogućiti zaključavanje.
Zaključavanje se može onemogućiti na daljinu
Andrej Konovalov je to dokazao metode povezane s tipkovnicom za koji potvrđuju da je fizička prisutnost korisnika neučinkovita.
El otkrila da bi najlakši način onemogućavanja zaključavanja bio simuliranje pritisnite Alt + SysRq + X kroz / dev / unos, ali ova je opcija u početku blokirana.
Ali barem još dva načina zamjene Alt + SysRq + X.
- Prva metoda uključuje upotrebu sučelja sysrq-okidač: za simulaciju, samo omogućite ovo sučelje upisivanjem "1" u / proc / sys / kernel / sysrq a zatim upišite "x" / proc / sysrq-okidač.
Ova je praznina popravljena u prosinčkom ažuriranju jezgre Ubuntu i u Fedori 31. Važno je napomenuti da su programeri, kao u slučaju / dev / unos, u početku su pokušali blokirati ovu metodu, ali blokiranje nije uspjelo zbog greške u kodu. - Druga metoda je oponašanje tipkovnice putem USB / IP-a, a zatim slanje sekvence Alt + SysRq + X s virtualne tipkovnice.
U jezgri su USB / IP koji isporučuje Ubuntu prema zadanim postavkama omogućeni i moduli usbip_core y vhci_hcd potrebni su opremljeni potrebnim digitalnim potpisom.
Napadač može stvoriti virtualni USB uređaj pokretanjem mrežnog kontrolera na povratnom sučelju i povezivanjem kao udaljeni USB uređaj pomoću USB / IP-a.
Navedena metoda prijavljena je programerima Ubuntu, ali rješenje još nije objavljeno.
izvor: https://github.com