Andrej Konovalov van Google
Lockdown beperkt de toegang van rootgebruikers tot de kernel en blokkeert UEFI Secure Boot-bypasspaden. In de lockdown-modus is bijvoorbeeld toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debugging-modus, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige interfaces zijn beperkt ACPI- en MSR-registers van de CPU, oproepen naar kexec_file en kexec_load zijn geblokkeerd, slaapmodus is verboden, DMA-gebruik voor PCI-apparaten is beperkt, import van ACPI-code uit EFI-variabelen is verboden, manipulaties met I/O-poorten zijn niet toegestaan toegestaan, inclusief het wijzigen van het interruptnummer en de I/O-poort voor seriële poort.
Het Lockdown-mechanisme is onlangs toegevoegd aan de belangrijkste Linux-kernel
In Ubuntu en Fedora is de toetscombinatie Alt+SysRq+X aanwezig om Lockdown uit te schakelen. Het is duidelijk dat de combinatie Alt+SysRq+X alleen kan worden gebruikt met fysieke toegang tot het apparaat, en in het geval van hacken op afstand en het verkrijgen van root-toegang zal de aanvaller Lockdown niet kunnen uitschakelen en bijvoorbeeld een module met een rootkit die niet digitaal is aangemeld bij de kernel.
Andrej Konovalov toonde aan dat toetsenbordgebaseerde methoden om de fysieke aanwezigheid van de gebruiker te bevestigen niet effectief zijn. De eenvoudigste manier om Lockdown uit te schakelen is door programmatisch
De eerste methode omvat het gebruik van de interface “sysrq-trigger” - om deze te simuleren, schakelt u deze interface in door “1” naar /proc/sys/kernel/sysrq te schrijven en vervolgens “x” naar /proc/sysrq-trigger te schrijven. Genoemde maas in de wet
De tweede methode omvat toetsenbordemulatie via
Bron: opennet.ru