andrey konovalov Google yazılım mühendisi, korumayı uzaktan devre dışı bırakmak için bir yöntem açıkladı kilitleme Ubuntu'da sağlanan Linux çekirdeğinde sunulur. Hangisiyle koruma yöntemlerinin etkisiz olduğunu gösterir, ayrıca teorik olarak ifşa ettiği yöntemlerin Fedora çekirdeği ve diğer dağıtımlarla da çalışması gerektiğinden (ancak test edilmediğinden) bahsediyor.
Kilitlenmeden haberi olmayanlar için, bunun Linux çekirdeğinin bir bileşeni olduğunu bilmeleri gerekir ki Ana işlevi, sistem çekirdeğindeki kök kullanıcının erişimini sınırlamaktır. ve bu işlevsellik LSM modülüne taşındı isteğe bağlı olarak yüklenmiş (Linux Güvenlik Modülü), UID 0 ile çekirdek arasında bir engel oluşturur, belirli düşük düzeyli işlevleri sınırlandırır.
Bu, kilitleme işlevinin mekanizma içinde örtük bir politikayı sabit kodlamaktan ziyade politikaya dayalı olmasına izin verir, bu nedenle Linux Güvenlik Modülünde bulunan kilit, basit bir politikayla bir uygulama sağlar genel kullanım için tasarlanmıştır. Bu politika, çekirdek komut satırı aracılığıyla kontrol edilebilen bir ayrıntı düzeyi sağlar.
Kilitleme hakkında
Kilit, çekirdeğe kök erişimini kısıtlar ve UEFI güvenli önyükleme atlama yollarını engeller.
Örneğin, kilit modunda, / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, debug mode kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS'ye erişim, diğerleri arasında, bazı arayüzler sınırlı ve CPU'nun ACPI ve MSR kayıtları.
Kexec_file ve kexec_load çağrıları engellenirken, uyku modu yasaklanır, PCI aygıtları için DMA kullanımı sınırlandırılır, ACPI kodunun EFI değişkenlerinden içe aktarılması yasaktır ve kesinti numarasını değiştirme ve seri bağlantı noktası için bir G / Ç bağlantı noktası.
Bazılarının bildiği gibi, mekanizması Linux kernel 5.4'te kilitleme eklendi, ancak yine de yamalar şeklinde uygulanmakta veya dağıtımlarla birlikte sağlanan çekirdeklerde yamalar ile desteklenmektedir.
Burada, dağıtımlarda sağlanan eklentiler ile gömülü çekirdek uygulaması arasındaki farklardan biri, sisteme fiziksel erişim olduğunda sağlanan kilidi devre dışı bırakma yeteneğidir.
Ubuntu ve Fedora anahtar kombinasyonunu kullanır Alt + SysRq + X kilidi devre dışı bırakmak için. Kombinasyonun Alt + SysRq + X yalnızca aygıta fiziksel erişim ile kullanılabilir ve uzaktan saldırı ve root erişimi durumunda saldırgan kilidi devre dışı bırakamaz.
Kilitleme uzaktan devre dışı bırakılabilir
Andrei Konovalov bunu kanıtladı klavye ile ilgili yöntemler bir kullanıcının fiziksel varlığının doğrulanması etkisizdir.
o kilidi devre dışı bırakmanın en kolay yolunun simüle etmek olacağını açıkladı basın Alt + SysRq + X içinden / dev / uinput, ancak bu seçenek başlangıçta engellenmiştir.
Ancak ikame etmenin en az iki yolu daha Alt + SysRq + X.
- İlk yöntem arayüzü kullanmayı içerir sysrq-tetikleyici: simüle etmek için, sadece bu arayüzü "1" yazarak etkinleştirin / proc / sys / kernel / sysrq ve sonra "x" yazarak / proc / sysrq-trigger.
Bu boşluk Aralık Ubuntu çekirdek güncellemesinde ve Fedora 31'de düzeltildi. / dev / uinput, başlangıçta bu yöntemi engellemeye çalıştılar, ancak koddaki bir hata nedeniyle engelleme çalışmadı. - İkinci yöntem, klavyeyi USB / IP yoluyla taklit etmek ve ardından sanal klavyeden Alt + SysRq + X dizisini göndermektir.
Çekirdekte, Ubuntu tarafından sağlanan USB / IP varsayılan olarak etkindir ve modüller usbip_core y vhci_hcd gerekli dijital imza ile sağlanır.
Saldırgan, geridöngü arabiriminde bir ağ denetleyicisi çalıştırarak ve bunu USB / IP kullanarak uzak bir USB aygıtı olarak bağlayarak sanal bir USB aygıtı oluşturabilir.
Belirtilen yöntem Ubuntu geliştiricilerine bildirildi, ancak henüz bir çözüm yayınlanmadı.
kaynak: https://github.com