Андрій Коновалов Інженер програмного забезпечення Google, представив метод віддаленого відключення захисту від блокування пропонується в ядрі Linux, що постачається в Ubuntu. З якої показує, що методи захисту неефективні, плюс він також згадує, що методи, які він розкрив теоретично, також повинні працювати з ядром Fedora та іншими дистрибутивами (але не перевірені).
Для тих, хто не знає про блокування, вони повинні знати, що це компонент ядра Linux, який Його основна функція - обмежити доступ кореневого користувача до ядра системи і ця функціональність було переміщено до модуля LSM додатково завантажений (модуль безпеки Linux), який встановлює бар'єр між UID 0 та ядром, обмежуючи певні функції низького рівня.
Це дозволяє функції блокування базуватися на політиці, а не жорстко кодувати неявну політику в механізмі, отже, блокування, включене в модуль безпеки Linux, забезпечує реалізацію з простою політикою призначені для загального користування. Ця політика забезпечує рівень деталізації, який можна контролювати через командний рядок ядра.
Про блокування
Блокування обмежує кореневий доступ до ядра та блокує захищені шляхи обходу UEFI.
Наприклад, у режимі блокування доступ до / dev / mem, / dev / kmem, / dev / port, / proc / kcore, debugfs, kbubs mode debug mode, mmiotrace, tracefs, BPF, PCMCIA CIS, серед інших, є деякі інтерфейси обмежений, а також регістри ACPI та MSR ЦП.
Поки виклики kexec_file та kexec_load заблоковані, режим сну заборонений, використання DMA для пристроїв PCI обмежено, імпорт коду ACPI із змінних EFI заборонено, а також маніпуляції з портами вводу / виводу, включаючи зміну номера переривання та I / O порт для послідовного порту.
Як деякі можуть знати, механізм додано блокування в ядро Linux 5.4, але він все ще реалізований у формі виправлень або доповнений виправленнями на ядрах, що постачаються з дистрибутивами.
Тут однією з відмінностей плагінів, що надаються в дистрибутивах, та реалізації вбудованого ядра є можливість вимкнути блокування, передбачене при фізичному доступі до системи.
Ubuntu і Fedora використовують комбінацію клавіш Alt + SysRq + X щоб вимкнути блокування. Зрозуміло, що поєднання Alt + SysRq + X його можна використовувати лише з фізичним доступом до пристрою, і у випадку віддаленої атаки та кореневого доступу зловмисник не зможе вимкнути блокування.
Блокування можна відключити віддалено
Андрій Коновалов це довів методи, пов'язані з клавіатурою для підтвердження фізичної присутності користувача неефективне.
Він розкрито, що найпростішим способом відключити блокування було б імітація натисніть Alt + SysRq + X через / dev / uinput, але ця опція спочатку заблокована.
Але принаймні ще два способи заміни Alt + SysRq + X.
- Перший метод передбачає використання інтерфейсу sysrq-тригер: для імітації, просто ввімкніть цей інтерфейс, набравши "1" в / proc / sys / kernel / sysrq а потім введіть "x" / proc / sysrq-тригер.
Цей розрив був виправлений у грудневому оновленні ядра Ubuntu та у Fedora 31. Примітно, що розробники, як і у випадку з / dev / uinput, спочатку вони намагалися заблокувати цей метод, але блокування не спрацювало через помилку в коді. - Другий спосіб - емуляція клавіатури через USB / IP, а потім надсилання послідовності Alt + SysRq + X з віртуальної клавіатури.
У ядрі USB / IP, що постачаються Ubuntu, увімкнено за замовчуванням та модулі usbip_core y vhci_hcd необхідні забезпечуються необхідним цифровим підписом.
Зловмисник може створити віртуальний USB-пристрій, запустивши мережевий контролер на інтерфейсі зворотного зв'язку та підключивши його як віддалений USB-пристрій за допомогою USB / IP.
Про вказаний метод повідомлено розробникам Ubuntu, але рішення ще не випущено.
Фуенте: https://github.com