Andrey Konovalov frá Google leið til að slökkva á vörninni lítillega boðið upp á Linux kjarnapakkann sem er sendur með Ubuntu (fræðilega stungið upp á tækni vinna með kjarna Fedora og annarra dreifinga, en þær eru ekki prófaðar).
Læsing takmarkar aðgang rótarnotenda að kjarnanum og lokar framhjáleiðum UEFI Secure Boot. Til dæmis, í lokunarham, aðgangur að /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes villuleitarham, mmiotrace, tracefs, BPF, PCMCIA CIS (uppbygging kortaupplýsinga), sumum viðmót eru takmörkuð ACPI og MSR skrár örgjörvans, símtöl í kexec_file og kexec_load eru læst, svefnstilling er bönnuð, DMA notkun fyrir PCI tæki er takmörkuð, innflutningur á ACPI kóða frá EFI breytum er bannaður, meðhöndlun með I/O tengi eru ekki leyft, þar á meðal að breyta truflunarnúmeri og I/O tengi fyrir raðtengi.
Lockdown vélbúnaðurinn var nýlega bætt við aðal Linux kjarnann , en í kjarnanum sem eru til staðar í dreifingum er það enn útfært í formi plástra eða bætt við plástra. Einn af muninum á viðbótunum sem eru til staðar í dreifingarsettum og útfærslunni sem er innbyggður í kjarnann er hæfileikinn til að slökkva á meðfylgjandi læsingu ef þú hefur líkamlegan aðgang að kerfinu.
Í Ubuntu og Fedora er lyklasamsetningin Alt+SysRq+X veitt til að slökkva á læsingu. Það er litið svo á að samsetningin Alt+SysRq+X er aðeins hægt að nota með líkamlegum aðgangi að tækinu, og ef um er að ræða fjartengdan reiðhestur og fá rótaraðgang mun árásarmaðurinn ekki geta slökkt á Lockdown og til dæmis hlaðið inn a mát með rootkit sem er ekki stafrænt skráð inn í kjarnann.
Andrey Konovalov sýndi fram á að lyklaborðsbundnar aðferðir til að staðfesta líkamlega viðveru notandans eru árangurslausar. Einfaldasta leiðin til að slökkva á læsingu væri að forrita ýttu á Alt+SysRq+X í gegnum /dev/uinput, en þessi valkostur er upphaflega lokaður. Á sama tíma var hægt að bera kennsl á að minnsta kosti tvær aðrar aðferðir til að skipta út Alt+SysRq+X.
Fyrsta aðferðin felur í sér að nota „sysrq-trigger“ viðmótið - til að líkja eftir því skaltu bara virkja þetta viðmót með því að skrifa „1“ í /proc/sys/kernel/sysrq og skrifa síðan „x“ í /proc/sysrq-trigger. Sagði gatið í desember Ubuntu kjarnauppfærslunni og í Fedora 31. Það er athyglisvert að forritararnir, eins og í tilviki /dev/uinput, upphaflega loka fyrir þessa aðferð, en blokkun virkaði ekki vegna í kóða.
Önnur aðferðin felur í sér lyklaborðslíkingu í gegnum og sendu síðan röðina Alt+SysRq+X frá sýndarlyklaborðinu. USB/IP kjarninn sem er sendur með Ubuntu er sjálfgefið virkur (CONFIG_USBIP_VHCI_HCD=m og CONFIG_USBIP_CORE=m) og veitir stafrænt undirritaða usbip_core og vhci_hcd einingar sem þarf til notkunar. Árásarmaðurinn getur sýndar USB tæki, netþjónn á bakhliðarviðmótinu og tengja það sem ytra USB tæki með USB/IP. Um tilgreinda aðferð til Ubuntu forritara, en lagfæring hefur ekki enn verið gefin út.
Heimild: opennet.ru