È stata identificata una vulnerabilità nel kernel Linux (CVE-2022-21505) che semplifica il bypass del meccanismo di sicurezza Lockdown, che limita l'accesso dell'utente root al kernel e blocca i percorsi di bypass UEFI Secure Boot. Per aggirarlo si propone di utilizzare il sottosistema del kernel IMA (Integrity Measurement Architecture), progettato per verificare l'integrità dei componenti del sistema operativo utilizzando firme digitali e hash.
La modalità di blocco limita l'accesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modalità debug kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), alcune interfacce ACPI e CPU I registri MSR, le chiamate kexec_file e kexec_load sono bloccati, la modalità sospensione è vietata, l'uso DMA per i dispositivi PCI è limitato, l'importazione di codice ACPI dalle variabili EFI è vietata, non sono consentite manipolazioni con le porte I/O, inclusa la modifica del numero di interrupt e della porta I /O per la porta seriale.
L'essenza della vulnerabilità è che quando si utilizza il parametro di avvio "ima_appraise=log", è possibile chiamare kexec per caricare una nuova copia del kernel se la modalità Secure Boot non è attiva nel sistema e la modalità Lockdown viene utilizzata separatamente da. IMA non consente l'abilitazione della modalità “ima_appraise” quando Secure Boot è attivo, ma non tiene conto della possibilità di utilizzare Lockdown separatamente da Secure Boot.
Fonte: opennet.ru