Andrey Konovalov daripada Google
Lockdown menyekat akses pengguna root kepada kernel dan menyekat laluan pintasan UEFI Secure Boot. Contohnya, dalam mod lokap, akses kepada /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mod penyahpepijatan kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Maklumat Kad), beberapa antara muka adalah terhad ACPI dan daftar MSR CPU, panggilan ke kexec_file dan kexec_load disekat, mod tidur adalah dilarang, penggunaan DMA untuk peranti PCI adalah terhad, import kod ACPI daripada pembolehubah EFI adalah dilarang, manipulasi dengan port I/O adalah dilarang. dibenarkan, termasuk menukar nombor gangguan dan port I/O untuk port bersiri.
Mekanisme Lockdown baru-baru ini telah ditambahkan pada kernel Linux utama
Dalam Ubuntu dan Fedora, kombinasi kekunci Alt+SysRq+X disediakan untuk melumpuhkan Lockdown. Difahamkan bahawa gabungan Alt+SysRq+X hanya boleh digunakan dengan akses fizikal kepada peranti, dan dalam kes penggodaman jauh dan mendapatkan akses root, penyerang tidak akan dapat melumpuhkan Lockdown dan, sebagai contoh, memuatkan modul dengan rootkit yang tidak ditandatangani secara digital ke dalam kernel.
Andrey Konovalov menunjukkan bahawa kaedah berasaskan papan kekunci untuk mengesahkan kehadiran fizikal pengguna adalah tidak berkesan. Cara paling mudah untuk melumpuhkan Lockdown adalah dengan memprogramkan
Kaedah pertama melibatkan penggunaan antara muka "sysrq-trigger" - untuk mensimulasikannya, hanya dayakan antara muka ini dengan menulis "1" ke /proc/sys/kernel/sysrq, dan kemudian tulis "x" ke /proc/sysrq-trigger. Kata celah
Kaedah kedua melibatkan emulasi papan kekunci melalui
Sumber: opennet.ru