Andrey Konovalov de Google
Lockdown restringe el acceso del usuario root al kernel y bloquea las rutas de omisión de arranque seguro UEFI. Por ejemplo, en modo de bloqueo, acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuración kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Estructura de información de tarjeta), algunos las interfaces están limitadas, los registros ACPI y MSR de la CPU, las llamadas a kexec_file y kexec_load están bloqueadas, el modo de suspensión está prohibido, el uso de DMA para dispositivos PCI está limitado, la importación de código ACPI desde variables EFI está prohibida, las manipulaciones con los puertos de E/S no están permitidas permitido, incluido el cambio del número de interrupción y el puerto de E/S por el puerto serie.
El mecanismo Lockdown se agregó recientemente al kernel principal de Linux
En Ubuntu y Fedora, se proporciona la combinación de teclas Alt+SysRq+X para desactivar el bloqueo. Se entiende que la combinación Alt+SysRq+X solo se puede utilizar con acceso físico al dispositivo, y en el caso de piratería remota y obtención de acceso root, el atacante no podrá desactivar Lockdown y, por ejemplo, cargar un módulo con un rootkit que no está registrado digitalmente en el kernel.
Andrey Konovalov demostró que los métodos basados en el teclado para confirmar la presencia física del usuario son ineficaces. La forma más sencilla de desactivar Lockdown sería mediante programación
El primer método implica utilizar la interfaz “sysrq-trigger”; para simularla, simplemente habilite esta interfaz escribiendo “1” en /proc/sys/kernel/sysrq y luego escriba “x” en /proc/sysrq-trigger. dicha laguna jurídica
El segundo método implica la emulación del teclado mediante
Fuente: opennet.ru