körpə – Linux nüvəsi üçün modul, (bəzi) nüvə zəifliklərinin istismarı risklərini azaltmaq üçün hazırlanmışdır.
Bu modulda tətbiq olunan qoruma mexanizmi hücum zamanı hədəfin bu və ya digər şəkildə müəyyən edilməsi kimi sadə bir fikrə əsaslanır. Buna görə də, bu identifikasiyanı çətinləşdirmək istismarın mürəkkəbliyini xeyli artıra bilər, çünki hazır istismarlar tez-tez hədəf nüvəsi versiyalarına uyğun müxtəlif ofset cədvəllərini ehtiva edir.
Məsələn, bunun necə edildiyi belədir CVE-2017-1000112Orada həmçinin kernel versiyasının identifikasiyasının uname istifadə edilərək həyata keçirildiyini görə bilərsiniz.
Hazırlanmış modulun tətbiqi asandır və aşağıdakılara imkan verir:
- nüvənin identifikasiyasını dəyişdirin;
- nüvə jurnalına (dmesg) girişi məhdudlaşdırın;
- /proc-da müəyyən məlumatları ehtiva edən müəyyən fayllara girişi məhdudlaşdırın;
- potensial olaraq şəxsiyyəti müəyyən edən məlumatlar ehtiva edən fayl və qovluqlara girişi məhdudlaşdırmaq;
- vDSO vasitəsilə mövcud olan kernel versiyasının identifikasiyasını dəyişdirin.
Qurma prosesi zamanı modul müxtəlif identifikasiya dəyişikliyi məntiqini tətbiq edən sözdə "ön ayarlardan" istifadə etməyə imkan verir. Məsələn, "windows" ön ayarlarından istifadə edərək aşağıdakı davranışa nail ola bilərsiniz:
Modulu yükləməzdən əvvəl
$ ./misc/id.sh ** UNAME identidty sızmaları — uname -r 2.6.32-754.35.1.el6.x86_64 — uname -v #1 SMP Şənbə 7 Noyabr 12:42:14 UTC 2020 — uname -a Linux localhost.localdomain 2.6.32-754.35.1.el6.x86_64 #1 SMP Şənbə 7 Noyabr 12:42:14 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux ** PROCFS identidty sızmaları - /proc/cmdline ro root=/dev/mapper/VolGroup00-LogVol00 rd_NO_LUKS no_timer_check console=tty0 console=ttyS0,115200n8 net.ifnames=0 biosdevname=0 LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=VolGroup00/LogVol01 rd_LVM_LV=VolGroup00/LogVol00 KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet — /proc/version Linux version 2.6.32-754.35.1.el6.x86_64 (mockbuild@x86-02.bsys.centos.org) (gcc version 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) ) #1 SMP Şənbə 7 Noyabr 12:42:14 UTC 2020 - /proc/sys/kernel/version #1 SMP Şənbə 7 Noyabr 12:42:14 UTC 2020 - /proc/sys/kernel/osrelease 2.6.32-754.35.1.el6.x86_64 hansı ki: (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin) hostnamectl yoxdur
Modulu yüklədikdən sonra
$ ./misc/id.sh ** UNAME identidty sızmaları — uname -r Windows — uname -v NT 4.0 — uname -a Linux localhost.localdomain Windows NT 4.0 x86_64 x86_64 x86_64 GNU/Linux ** PROCFS identidty sızmaları — /proc/cmdline EFIMicrosoftBootbootmgfw.efi — /proc/version Windows NT 4.0 — /proc/sys/kernel/version NT 4.0 — /proc/sys/kernel/osrelease Windows hansı ki: (/usr/local/bin:/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/sbin:/home/vagrant/bin) hostnamectl yoxdur
Ssenari uşaqları keçməyəcək!
Mənbə: linux.org.ru
