Andrey konovalov Jurutera perisian Google, melancarkan kaedah untuk mematikan perlindungan dari jauh kuncian ditawarkan dalam kernel Linux yang dibekalkan di Ubuntu. Dengan yang mana menunjukkan bahawa kaedah perlindungan tidak berkesan, ditambah dia juga menyebutkan bahwa metode yang diungkapkannya secara teoritis harus bekerja dengan kernel Fedora dan distribusi lain juga, (tetapi belum diuji).
Bagi mereka yang tidak menyedari Lockdown, mereka harus tahu bahawa itu adalah komponen kernel Linux yang Fungsi utamanya adalah untuk menghadkan akses pengguna root dalam kernel sistem dan fungsi ini telah dipindahkan ke modul LSM dimuat secara pilihan (Modul Keselamatan Linux), yang mewujudkan penghalang antara UID 0 dan kernel, menghadkan fungsi tahap rendah tertentu.
Ini membolehkan fungsi penguncian dibuat berdasarkan polisi dan bukannya pengekodan keras suatu kebijakan tersirat dalam mekanisme, jadi kunci yang disertakan dalam Modul Keselamatan Linux menyediakan pelaksanaan dengan dasar yang mudah bertujuan untuk kegunaan umum. Dasar ini memberikan tahap butiran yang dapat dikawal melalui baris perintah kernel.
Mengenai lokap
Kunci menyekat akses root ke kernel dan menyekat laluan bypass but selamat UEFI.
Contohnya, dalam mod kunci, akses ke / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, mod debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS, antara lain, beberapa antaramuka adalah terhad serta daftar CPU ACPI dan MSR.
Walaupun panggilan kexec_file dan kexec_load terkunci, mod tidur dilarang, penggunaan DMA untuk peranti PCI terhad, mengimport kod ACPI dari pemboleh ubah EFI dilarang, dan manipulasi dengan port input / output, termasuk mengubah nombor interrupt dan I / Port O untuk port bersiri.
Seperti yang diketahui oleh sesetengah pihak, mekanisme lockdown ditambahkan dalam kernel Linux 5.4, tetapi masih dilaksanakan dalam bentuk tambalan atau ditambah dengan tambalan pada kernel yang dibekalkan dengan pengedaran.
Di sini, salah satu perbezaan antara plugin yang disediakan dalam pengedaran dan pelaksanaan kernel tertanam adalah kemampuan untuk mematikan kunci yang disediakan ketika terdapat akses fizikal ke sistem.
Ubuntu dan Fedora menggunakan kombinasi kunci Alt + SysRq + X untuk mematikan kunci. Difahamkan bahawa gabungannya Alt + SysRq + X hanya dapat digunakan dengan akses fizikal ke perangkat dan jika terjadi serangan jarak jauh dan akses root, penyerang tidak akan dapat mematikan kunci.
Lockdown boleh dilumpuhkan dari jauh
Andrei Konovalov membuktikan bahawa kaedah yang berkaitan dengan papan kekunci untuk mengesahkan kehadiran fizikal pengguna tidak berkesan.
Dia mendedahkan bahawa kaedah termudah untuk mematikan kunci adalah dengan mensimulasikan tekan Alt + SysRq + X melalui / dev / uinput, tetapi pilihan ini pada mulanya disekat.
Tetapi sekurang-kurangnya dua lagi kaedah penggantian Alt + SysRq + X.
- Kaedah pertama melibatkan penggunaan antara muka sysrq-pencetus: untuk mensimulasikan, aktifkan antara muka ini dengan menaip "1" di / proc / sys / kernel / sysrq dan kemudian taip "x" di / proc / sysrq-pencetus.
Jurang ini diperbaiki dalam kemas kini kernel Ubuntu Disember dan di Fedora 31. Perlu diperhatikan bahawa pemaju, seperti dalam hal / dev / uinput, pada mulanya mereka cuba menyekat kaedah ini, tetapi penyekat tersebut tidak berjaya kerana terdapat bug pada kod tersebut. - Kaedah kedua adalah meniru papan kekunci melalui USB / IP dan kemudian menghantar urutan Alt + SysRq + X dari papan kekunci maya.
Di kernel, USB / IP yang dibekalkan oleh Ubuntu diaktifkan secara lalai dan modulnya usbip_core y vhci_hcd perlu disediakan dengan tandatangan digital yang diperlukan.
Penyerang dapat membuat peranti USB maya dengan menjalankan pengawal rangkaian pada antara muka loopback dan menghubungkannya sebagai peranti USB jarak jauh menggunakan USB / IP.
Kaedah yang ditentukan telah dilaporkan kepada pengembang Ubuntu, tetapi penyelesaiannya belum dilepaskan.
Fuente: https://github.com