Se ha identificado una vulnerabilidad en el kernel de Linux (CVE-2022-21505) que facilita eludir el mecanismo de seguridad Lockdown, que limita el acceso del usuario root al kernel y bloquea las rutas de omisión de arranque seguro UEFI. Para evitarlo, se propone utilizar el subsistema del kernel IMA (Integrity Measurement Architecture), diseñado para verificar la integridad de los componentes del sistema operativo mediante firmas digitales y hashes.
El modo de bloqueo restringe el acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuración kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (estructura de información de tarjeta), algunas interfaces ACPI y CPU. Los registros MSR, las llamadas kexec_file y kexec_load están bloqueadas, el modo de suspensión está prohibido, el uso de DMA para dispositivos PCI es limitado, la importación de código ACPI desde variables EFI está prohibida, no se permiten manipulaciones con puertos de E/S, incluido el cambio del número de interrupción y el puerto I /O para puerto serie.
La esencia de la vulnerabilidad es que cuando se usa el parámetro de arranque “ima_appraise=log”, es posible llamar a kexec para cargar una nueva copia del kernel si el modo de arranque seguro no está activo en el sistema y el modo de bloqueo se usa por separado. de eso. IMA no permite habilitar el modo “ima_appraise” cuando el Arranque seguro está activo, pero no tiene en cuenta la posibilidad de utilizar Lockdown por separado del Arranque seguro.
Fuente: opennet.ru