Linux カーネル (CVE-2022-21505) で、カーネルへの root ユーザー アクセスを制限し、UEFI セキュア ブート バイパス パスをブロックするロックダウン セキュリティ メカニズムを簡単にバイパスできる脆弱性が確認されました。 これを回避するには、デジタル署名とハッシュを使用してオペレーティング システム コンポーネントの整合性を検証するように設計された IMA (Integrity Measurement Architecture) カーネル サブシステムを使用することが提案されています。
ロックダウン モードでは、/dev/mem、/dev/kmem、/dev/port、/proc/kcore、debugfs、kprobes デバッグ モード、mmiotrace、tracefs、BPF、PCMCIA CIS (カード情報構造)、一部の ACPI インターフェイスおよび CPU へのアクセスが制限されます。 MSR レジスタ、kexec_file および kexec_load 呼び出しはブロックされ、スリープ モードは禁止され、PCI デバイスの DMA 使用は制限され、EFI 変数からの ACPI コードのインポートは禁止され、割り込み番号とポート I の変更を含む I/O ポートの操作は許可されません。 /O シリアルポートの場合。
この脆弱性の本質は、システムでセキュア ブート モードがアクティブでなく、ロックダウン モードが別途使用されている場合、「ima_appraise=log」ブート パラメータを使用すると、kexec を呼び出してカーネルの新しいコピーをロードできる可能性があることです。それから。 IMA では、セキュア ブートがアクティブなときに「ima_appraise」モードを有効にすることはできませんが、セキュア ブートとは別にロックダウンを使用する可能性は考慮されていません。
出所: オープンネット.ru