Andrey Konovalov fan Google manier om beskerming op ôfstân út te skeakeljen oanbean yn it Linux-kernelpakket ferstjoerd mei Ubuntu (techniken teoretysk oansteld wurkje mei de kernel fan Fedora en oare distribúsjes, mar se wurde net hifke).
Lockdown beheint root-brûker tagong ta de kernel en blokkearret UEFI Secure Boot bypasspaden. Bygelyks, yn lockdown-modus, tagong ta /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes-debuggenmodus, mmiotrace, tracefs, BPF, PCMCIA CIS (Kaartynformaasjestruktuer), guon ynterfaces binne beheind ACPI- en MSR-registers fan 'e CPU, oproppen nei kexec_file en kexec_load binne blokkearre, sliepmodus is ferbean, DMA-gebrûk foar PCI-apparaten is beheind, ymport fan ACPI-koade fan EFI-fariabelen is ferbean, manipulaasjes mei I/O-poarten binne net tastien, ynklusyf it feroarjen fan it interrupt nûmer en I / O haven foar serial haven.
It Lockdown-meganisme waard koartlyn tafoege oan 'e haad Linux-kernel . Ien fan 'e ferskillen tusken de tafoegings oanbean yn distribúsjekits en de ymplemintaasje ynboud yn 'e kernel is de mooglikheid om de levere beskoatteljen út te skeakeljen as jo fysike tagong hawwe ta it systeem.
Yn Ubuntu en Fedora wurdt de toetskombinaasje Alt + SysRq + X levere om Lockdown út te skeakeljen. It wurdt begrepen dat de kombinaasje Alt + SysRq + X kin allinich brûkt wurde mei fysike tagong ta it apparaat, en yn it gefal fan hacking op ôfstân en it krijen fan root-tagong sil de oanfaller Lockdown net útskeakelje en bygelyks in lade lade module mei in rootkit dy't net digitaal oanmeld is yn 'e kernel.
Andrey Konovalov liet sjen dat toetseboerd-basearre metoaden foar it befestigjen fan de fysike oanwêzigens fan 'e brûker net effektyf binne. De ienfâldichste manier om Lockdown út te skeakeljen soe wêze programmatysk drukke Alt+SysRq+X fia /dev/uinput, mar dizze opsje is yn earste ynstânsje blokkearre. Tagelyk wie it mooglik om op syn minst twa mear metoaden fan ferfanging Alt+SysRq+X te identifisearjen.
De earste metoade omfettet it brûken fan de "sysrq-trigger" ynterface - om it te simulearjen, skeakelje dizze ynterface gewoan yn troch "1" te skriuwen nei /proc/sys/kernel/sysrq, en skriuw dan "x" nei /proc/sysrq-trigger. Said loophole yn 'e desimber Ubuntu kernel update en yn Fedora 31. It is opmerklik dat de ûntwikkelders, lykas yn it gefal fan /dev/uinput, yn earste ynstânsje blokkearje dizze metoade, mar blokkearjen wurke net fanwegen yn koade.
De twadde metoade omfettet toetseboerdemulaasje fia en stjoer dan de folchoarder Alt + SysRq + X fan it firtuele toetseboerd. De USB/IP-kernel ferstjoerd mei Ubuntu is standert ynskeakele (CONFIG_USBIP_VHCI_HCD=m en CONFIG_USBIP_CORE=m) en leveret de digitaal ûndertekene usbip_core en vhci_hcd-modules dy't nedich binne foar operaasje. De oanfaller kin firtuele USB-apparaat, netwurk handler op de loopback ynterface en ferbine it as in ôfstân USB apparaat mei help fan USB / IP. Oer de oantsjutte metoade oan Ubuntu-ûntwikkelders, mar in fix is noch net frijlitten.
Boarne: opennet.ru