Er is een kwetsbaarheid geïdentificeerd in de Linux-kernel (CVE-2022-21505) die het gemakkelijk maakt om het Lockdown-beveiligingsmechanisme te omzeilen, dat de toegang van rootgebruikers tot de kernel beperkt en UEFI Secure Boot-bypasspaden blokkeert. Om dit te omzeilen, wordt voorgesteld om het kernelsubsysteem IMA (Integrity Measurement Architecture) te gebruiken, ontworpen om de integriteit van componenten van het besturingssysteem te verifiëren met behulp van digitale handtekeningen en hashes.
De vergrendelingsmodus beperkt de toegang tot /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes debug-modus, mmiotrace, tracefs, BPF, PCMCIA CIS (Card Information Structure), sommige ACPI-interfaces en CPU MSR-registers, kexec_file en kexec_load-aanroepen zijn geblokkeerd, slaapmodus is verboden, DMA-gebruik voor PCI-apparaten is beperkt, ACPI-code-import uit EFI-variabelen is verboden, manipulaties met I/O-poorten zijn niet toegestaan, inclusief het wijzigen van het interruptnummer en poort I /O voor seriële poort.
De essentie van de kwetsbaarheid is dat bij gebruik van de opstartparameter “ima_appraise=log” het mogelijk is om kexec aan te roepen om een nieuw exemplaar van de kernel te laden als de Secure Boot-modus niet actief is in het systeem en de Lockdown-modus afzonderlijk wordt gebruikt ervan. IMA staat niet toe dat de “ima_appraise”-modus wordt ingeschakeld wanneer Secure Boot actief is, maar houdt geen rekening met de mogelijkheid om Lockdown afzonderlijk van Secure Boot te gebruiken.
Bron: opennet.ru