Andrey konovalov Insinyur perangkat lunak Google, meluncurkan metode untuk menonaktifkan perlindungan dari jarak jauh kuncian ditawarkan di kernel Linux yang disediakan di Ubuntu. Dengan yang menunjukkan bahwa metode perlindungan tidak efektif, ditambah dia juga menyebutkan bahwa metode yang dia ungkapkan secara teoritis harus bekerja dengan kernel Fedora dan distribusi lain juga, (tetapi belum diuji).
Bagi mereka yang tidak menyadari Lockdown, mereka harus tahu bahwa itu adalah komponen dari kernel Linux itu Fungsi utamanya adalah membatasi akses pengguna root di kernel sistem dan fungsi ini telah dipindahkan ke modul LSM opsional dimuat (Modul Keamanan Linux), yang menetapkan penghalang antara UID 0 dan kernel, membatasi fungsi tingkat rendah tertentu.
Hal ini memungkinkan fungsi penguncian menjadi berbasis kebijakan daripada melakukan pengkodean keras kebijakan implisit dalam mekanisme, jadi kunci yang disertakan dalam Modul Keamanan Linux menyediakan implementasi dengan kebijakan sederhana ditujukan untuk penggunaan umum. Kebijakan ini memberikan tingkat perincian yang dapat dikontrol melalui baris perintah kernel.
Tentang kuncian
Kunci membatasi akses root ke kernel dan memblokir jalur pintas boot aman UEFI.
Misalnya, dalam mode kunci, akses ke / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, mode debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, antara lain, beberapa antarmuka terbatas serta register ACPI dan MSR dari CPU.
Meskipun panggilan kexec_file dan kexec_load dikunci, mode tidur dilarang, penggunaan DMA untuk perangkat PCI dibatasi, impor kode ACPI dari variabel EFI dilarang, dan manipulasi dengan port input / output, termasuk perubahan nomor interupsi dan I / O port untuk port serial.
Seperti yang diketahui beberapa orang, mekanisme penguncian ditambahkan di Linux kernel 5.4, tetapi masih diimplementasikan dalam bentuk tambalan atau ditambah dengan tambalan pada kernel yang disertakan dengan distro.
Di sini, salah satu perbedaan antara plugin yang disediakan dalam distribusi dan implementasi kernel tertanam adalah kemampuan untuk menonaktifkan kunci yang disediakan ketika ada akses fisik ke sistem.
Ubuntu dan Fedora menggunakan kombinasi tombol Alt+SysRq+X untuk menonaktifkan kunci. Dapat dipahami bahwa kombinasi tersebut Alt+SysRq+X ini hanya dapat digunakan dengan akses fisik ke perangkat dan jika terjadi serangan jarak jauh dan akses root, penyerang tidak akan dapat menonaktifkan kunci tersebut.
Penguncian dapat dinonaktifkan dari jarak jauh
Andrei Konovalov membuktikannya metode terkait keyboard untuk memastikan keberadaan fisik pengguna tidak efektif.
Dia mengungkapkan bahwa cara termudah untuk menonaktifkan kunci adalah dengan melakukan simulasi tekan Alt+SysRq+X melalui / dev / uinput, tetapi opsi ini awalnya diblokir.
Tetapi setidaknya dua cara lagi untuk menggantikannya Alt+SysRq+X.
- Metode pertama melibatkan penggunaan antarmuka pemicu sysrq: untuk mensimulasikan, cukup aktifkan antarmuka ini dengan mengetik "1" di / proc / sys / kernel / sysrq lalu ketikkan "x" / proc / sysrq-trigger.
Celah ini telah diperbaiki pada pembaruan kernel Ubuntu Desember dan Fedora 31. Patut dicatat bahwa pengembang, seperti dalam kasus / dev / uinput, mereka awalnya mencoba memblokir metode ini, tetapi pemblokiran tidak berhasil karena ada bug di kode. - Metode kedua adalah mengemulasi keyboard melalui USB / IP dan kemudian mengirim urutan Alt + SysRq + X dari keyboard virtual.
Di kernel, USB / IP yang disediakan oleh Ubuntu diaktifkan secara default dan modul usbip_core y vhci_hcd perlu dilengkapi dengan tanda tangan digital yang diperlukan.
Penyerang dapat membuat perangkat USB virtual dengan menjalankan pengontrol jaringan pada antarmuka loopback dan menghubungkannya sebagai perangkat USB jarak jauh menggunakan USB / IP.
Metode yang ditentukan telah dilaporkan ke pengembang Ubuntu, tetapi solusinya belum dirilis.
sumber: https://github.com