Im Linux-Kernel wurde eine Schwachstelle (CVE-2022-21505) entdeckt, die es ermöglicht, den Lockdown-Schutzmechanismus zu umgehen, der den Root-Zugang zum Kernel einschrĂ€nkt und Umgehungen von UEFI Secure Boot blockiert. Zum Umgehen wird vorgeschlagen, die IMA (Integrity Measurement Architecture)-Subsystem des Kernels zu verwenden, die zur ĂberprĂŒfung der IntegritĂ€t von Betriebssystemkomponenten mittels digitaler Signaturen und Hashes dient.
Im Lockdown-Modus wird der Zugriff auf /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, den Kprobes-Debugging-Modus, mmiotrace, tracefs, BPF, das PCMCIA CIS (Card Information Structure), einige ACPI-Schnittstellen und CPU-MSR-Register eingeschrĂ€nkt, kexec_file- und kexec_load-Aufrufe werden blockiert, der Ruhezustand wird verboten, die Verwendung von DMA fĂŒr PCI-GerĂ€te wird begrenzt, der Import von ACPI-Code aus EFI-Variablen ist nicht erlaubt und Manipulationen mit Ein-/Ausgabe-Ports, einschlieĂlich der Ănderung der Interrupt-Nummer und des Ein-/Ausgabe-Ports fĂŒr serielle Ports, sind nicht zulĂ€ssig.
Das Problem der SicherheitsanfĂ€lligkeit besteht darin, dass bei Verwendung des Bootparameters âima_appraise=logâ der Aufruf von kexec zulĂ€ssig ist, um eine neue Version des Kernels zu starten, sofern der Secure Boot-Modus nicht aktiviert ist und der Lockdown-Modus unabhĂ€ngig davon verwendet wird. IMA lĂ€sst die Aktivierung des âima_appraiseâ-Modus bei aktivem Secure Boot nicht zu, beachtet jedoch nicht die Möglichkeit, Lockdown unabhĂ€ngig von Secure Boot zu nutzen.
Quelle: opennet.ru
