Andrey Konovalov fan Google
Lockdown beheint root-brûker tagong ta de kernel en blokkearret UEFI Secure Boot bypasspaden. Bygelyks, yn lockdown-modus, tagong ta /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes-debuggenmodus, mmiotrace, tracefs, BPF, PCMCIA CIS (Kaartynformaasjestruktuer), guon ynterfaces binne beheind ACPI- en MSR-registers fan 'e CPU, oproppen nei kexec_file en kexec_load binne blokkearre, sliepmodus is ferbean, DMA-gebrûk foar PCI-apparaten is beheind, ymport fan ACPI-koade fan EFI-fariabelen is ferbean, manipulaasjes mei I/O-poarten binne net tastien, ynklusyf it feroarjen fan it interrupt nûmer en I / O haven foar serial haven.
It Lockdown-meganisme waard koartlyn tafoege oan 'e haad Linux-kernel
Yn Ubuntu en Fedora wurdt de toetskombinaasje Alt + SysRq + X levere om Lockdown út te skeakeljen. It wurdt begrepen dat de kombinaasje Alt + SysRq + X kin allinich brûkt wurde mei fysike tagong ta it apparaat, en yn it gefal fan hacking op ôfstân en it krijen fan root-tagong sil de oanfaller Lockdown net útskeakelje en bygelyks in lade lade module mei in rootkit dy't net digitaal oanmeld is yn 'e kernel.
Andrey Konovalov liet sjen dat toetseboerd-basearre metoaden foar it befestigjen fan de fysike oanwêzigens fan 'e brûker net effektyf binne. De ienfâldichste manier om Lockdown út te skeakeljen soe wêze programmatysk
De earste metoade omfettet it brûken fan de "sysrq-trigger" ynterface - om it te simulearjen, skeakelje dizze ynterface gewoan yn troch "1" te skriuwen nei /proc/sys/kernel/sysrq, en skriuw dan "x" nei /proc/sysrq-trigger. Said loophole
De twadde metoade omfettet toetseboerdemulaasje fia
Boarne: opennet.ru