Il-proġett Openwall ħareġ il-modulu tal-kernel LKRG 1.0.0 (Linux Kernel Runtime Guard (Kernel Runtime Guard) huwa ddisinjat biex jivverifika l-integrità tal-istrutturi tal-kernel u jidentifika tentattivi biex jiġu sfruttati l-vulnerabbiltajiet tal-kernel. Ir-rilaxx tal-verżjoni 1.0.0 jimmarka l-maturità tal-proġett. Il-kodiċi tal-proġett huwa mqassam taħt il-liċenzja GPLv2.
Il-modulu huwa adattat għat-tnejn protezzjoni minn attakki, timmanipula vulnerabbiltajiet diġà magħrufa fil-kernel Linux, biex jiġġieldu l-isfruttamenti li jisfruttaw vulnerabbiltajiet li qabel ma kinux magħrufa, sakemm ma jużawx miżuri speċjali biex jevitaw LKRG. Il-protezzjoni hija bbażata fuq l-iskoperta ta' bidliet mhux awtorizzati fil-kernel li jkun qed jaħdem (verifika tal-integrità) u l-monitoraġġ ta' bidliet fil-privileġġi tal-proċess tal-utent (skoperta ta' sfruttamenti).
Il-verifika tal-integrità titwettaq abbażi tat-tqabbil tal-hashes ikkalkulati għall-aktar oqsma importanti tal-memorja u l-istrutturi tad-dejta tal-kernel, bħal IDT (Interrupt Descriptor Table), MSR, tabelli tas-sejħiet tas-sistema, il-proċeduri u l-funzjonijiet kollha, handlers tal-interruzzjonijiet, listi ta' moduli mgħobbija, il-kontenut tat-taqsima ".text" tal-moduli u l-attributi tal-proċess. Il-proċedura tal-verifika tiġi attivata perjodikament minn timer jew meta jseħħu ċerti avvenimenti fil-kernel, pereżempju, meta jiġu eżegwiti s-sejħiet tas-sistema setuid, setreuid, fork, exit, execve u do_init_module.
L-identifikazzjoni ta' exploits possibbli u l-imblukkar ta' attakki jsiru fl-istadju ta' qabel ma l-kernel jagħti aċċess għar-riżorsi (pereżempju, qabel ma jiftaħ fajl), iżda wara li l-proċess ikun irċieva privileġġi mhux awtorizzati (pereżempju, billi jinbidel l-UID). Meta jiġi skopert imġieba mhux awtorizzata tal-proċessi, dawn jiġu terminati bil-forza, li huwa biżżejjed biex jimblokka ħafna exploits. L-ispejjeż ġenerali tal-modulu huma stmati għal 2-2.5%.
L-arkitetturi appoġġjati jinkludu x86-64, AArch64 (ARM64), ARM32, u x86. LKRG 1.0.0 ġie ttestjat b'kernels minn diversi distribuzzjonijiet, li bdew bil-kernel 3.10 minn RHEL.CentOS 7 u li jispiċċa b'6.17-rc4 mir-repożitorju fejn Fedora 44 qed tiġi ppreparata għar-rilaxx. Il-pakketti huma disponibbli għal distribuzzjonijiet ALT. Linux, Ark Linux, Astra Linux, Gentoo, Guix, NixOS, Rocky Linux, Whonix, Yocto u OpenBMC. Miġbura għal Rocky Linux Il-pakketti jistgħu jintużaw f'RHEL 8/9 u distribuzzjonijiet derivattivi bħal AlmaLinux 8/9, u pakketti għal Whonix fi Debian и Ubuntu.
Fost il-bidliet fil-verżjoni l-ġdida:
- Il-kompatibbiltà mal-kernels hija żgurata Linux sa r-rilaxx 6.17-rc4.
- Meta jintuża ma' kernels minn 6.13 'l hawn, l-interċettazzjoni ta' sejħiet remoti lil override_creds() u revert_creds() twaqqfet, u dan illimita l-iskoperta ta' attakki li jiddefinixxu mill-ġdid il-pointer tal-cred. Saru tentattivi biex jiġu kkumpensati għal-limitazzjonijiet billi żdiedu kontrolli għall-kitba mill-ġdid tal-pointer tal-cred x'imkien ieħor fil-kernel.
- Waqqaf it-traċċar eċċessiv ta' kredenzjali li mhumiex iċċekkjati bl-integrità. Il-bidla naqqset il-bażi tal-kodiċi b'madwar 1500 linja.
- Żied appoġġ għal dak li deher fil-kernel Linux Mekkaniżmu 6.10 għall-ħolqien ta' fajls temporanji fis-sistema tal-fajls OverlayFS bl-użu tal-għażla O_TMPFILE (ovl_tmpfile). Dan l-appoġġ huwa meħtieġ biex jipprevjeni pożittivi foloz li jseħħu meta jintużaw kontejners iżolati fuq sistemi b'kernels 6.10-6.12.
- Għas-sistemi x86_64, ġie miżjud l-appoġġ għal Intel CET (Control-flow Enforcement Technology) biex jipproteġi l-kodiċi eżegwibbli bl-użu ta' struzzjonijiet IBT (indirect branch tracking), kif ukoll protezzjoni tas-softwer kCFI (kernel Control Flow Integrity) biex timblokka l-ksur tal-ordni normali ta' eżekuzzjoni (control flow) bħala riżultat tal-użu ta' exploits li jibdlu l-pointers għal funzjonijiet maħżuna fil-memorja.
- Biex tqabbad ħafna handlers, minflok kretprobes, jintuża l-mekkaniżmu kprobes, li jissimplifika l-kodiċi tal-installazzjoni tal-hook u jippermetti li tinkiseb prestazzjoni ogħla.
- L-immaniġġjar ta' data locks (locks) speċifiċi għall-proċess fil-kernel (per-task shadow data) ġie maħdum mill-ġdid. Billi telimina locks bla bżonn, kien possibbli li tiżdied il-prestazzjoni tal-aċċess għal din id-dejta.
- Irranġajna bugs li kkawżaw kundizzjonijiet tat-tlielaq, problemi ta' kontroll tal-integrità, u pożittivi foloz.
- Appoġġ imtejjeb għall-bini bl-użu ta' Clang.
Sors: opennet.ru
