Andrej Konovalov Google szoftvermérnök, bemutatott egy módszert a védelem távolról történő letiltására zárlatot az Ubuntuban szállított Linux kernelben. Amellyel azt mutatja, hogy a védelmi módszerek hatástalanok, plusz megemlíti azt is, hogy az általa elméletileg ismertetett módszereknek a Fedora kernellel és más disztribúciókkal is együtt kell működniük (de még nem tesztelték).
Azok számára, akik nincsenek tisztában a lezárással, tudnia kell, hogy ez a Linux kernel egyik összetevője Fő feladata a root felhasználó hozzáférésének korlátozása a rendszermagban és ez a funkcionalitás az LSM modulba került opcionálisan betöltve (Linux Security Module), amely gátat állít az UID 0 és a kernel között, bizonyos alacsony szintű funkciók korlátozása.
Ez lehetővé teszi, hogy a zárolás funkció házirend-alapú legyen, ahelyett, hogy a mechanizmuson belül implicit politikát kódolna, tehát a Linux biztonsági modulban található zár egyszerű megvalósítási módot kínál egyszerű házirenddel általános használatra szánják. Ez a házirend részletességet biztosít a kernel parancssorán keresztül.
A lezárásról
A zárolás korlátozza a root hozzáférését a kernelhez, és blokkolja az UEFI biztonságos rendszerindítási bypass útvonalait.
Például zárolási módban a / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debug mode kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS hozzáférés többek között korlátozott, valamint a CPU ACPI és MSR regiszterei.
Míg a kexec_file és kexec_load hívások blokkolva vannak, az alvó üzemmód tilos, a DMA használata PCI-eszközökhöz korlátozott, az ACPI-kód importálása az EFI változókból és a bemeneti / kimeneti portokkal való manipuláció, ideértve a megszakítási szám megváltoztatását és I / O port a soros porthoz.
Mint egyesek tudják, a mechanizmusa zárolást adtak hozzá az 5.4 Linux kernelben, de még mindig foltok formájában valósítják meg, vagy kiegészítik a disztribúcióval szállított kernek foltjaival.
Itt az egyik disztribúció az elosztásokban biztosított beépülő modulok és a beágyazott kernel megvalósítása között az a lehetőség, hogy letiltja a zárat, ha fizikai hozzáférés van a rendszerhez.
Az Ubuntu és a Fedora a billentyűkombinációt használja Alt + SysRq + X hogy letiltsa a zárat. Magától értetődik, hogy a kombináció Alt + SysRq + X csak az eszközhöz való fizikai hozzáféréssel használható, távoli támadás és root hozzáférés esetén a támadó nem tudja letiltani a zárat.
A zárolás távolról letiltható
Andrej Konovalov bebizonyította billentyűzettel kapcsolatos módszerek a felhasználó fizikai jelenlétének megerősítése hatástalan.
él nyilvánosságra hozta, hogy a zár kikapcsolásának legegyszerűbb módja a szimuláció lenne nyomja meg Alt + SysRq + X keresztül / dev / uinput, de ez az opció kezdetben le van tiltva.
De még legalább két helyettesítési mód Alt + SysRq + X.
- Az első módszer magában foglalja az interfész használatát sysrq-trigger: szimulációhoz csak engedélyezze ezt a felületet az "1" beírásával / proc / sys / kernel / sysrq majd beírja az "x" -t / proc / sysrq-trigger.
Ezt a hiányt a decemberi Ubuntu kernel frissítés és a Fedora 31 rögzítette. Figyelemre méltó, hogy a fejlesztők, mint például a / dev / uinput, kezdetben megpróbálták blokkolni ezt a módszert, de a blokkolás a kód hibája miatt nem működött. - A második módszer a billentyűzet emulálása USB / IP-n keresztül, majd az Alt + SysRq + X szekvencia elküldése a virtuális billentyűzetről.
A kernelben az Ubuntu által biztosított USB / IP alapértelmezés szerint engedélyezett és a modulok usbip_core y vhci_hcd szükséges digitális aláírással ellátva.
A támadó virtuális USB-eszközt hozhat létre úgy, hogy futtat egy hálózati vezérlőt a visszacsatoló felületen, és távoli USB-eszközként csatlakoztatja az USB / IP használatával.
A megadott módszert jelentették az Ubuntu fejlesztőknek, de megoldást még nem adtak ki.
forrás: https://github.com