Identificouse unha vulnerabilidade no núcleo de Linux (CVE-2022-21505) que facilita evitar o mecanismo de seguranza Lockdown, que restrinxe o acceso do usuario root ao núcleo e bloquea as rutas de bypass de arranque seguro de UEFI. Para evitalo, proponse utilizar o subsistema do núcleo IMA (Integrity Measurement Architecture), deseñado para verificar a integridade dos compoñentes do sistema operativo mediante sinaturas dixitais e hash.
O modo de bloqueo restrinxe o acceso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes modo depuración, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), algunhas interfaces ACPI e CPU Os rexistros MSR, as chamadas kexec_file e kexec_load están bloqueadas, o modo de suspensión está prohibido, o uso de DMA para dispositivos PCI está limitado, a importación de código ACPI desde variables EFI está prohibida, non se permiten manipulacións con portos de E/S, incluído o cambio do número de interrupción e do porto I. /O para porto serie.
A esencia da vulnerabilidade é que ao usar o parámetro de inicio "ima_appraise=log", é posible chamar a kexec para cargar unha nova copia do núcleo se o modo de arranque seguro non está activo no sistema e o modo de bloqueo se usa por separado. a partir dela. IMA non permite que se active o modo "ima_appraise" cando o arranque seguro está activo, pero non ten en conta a posibilidade de usar o bloqueo por separado do arranque seguro.
Fonte: opennet.ru