Andrey Konovalov z Google
Blokada ogranicza dostęp użytkownika root do jądra i blokuje ścieżki obejścia UEFI Secure Boot. Na przykład w trybie blokady dostęp do /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, kprobes mode debuging, mmiotrace, tracifs, BPF, PCMCIA CIS (struktura informacji o karcie), niektóre interfejsy są ograniczone Rejestry ACPI i MSR procesora, wywołania kexec_file i kexec_load są blokowane, tryb uśpienia jest zabroniony, użycie DMA dla urządzeń PCI jest ograniczone, import kodu ACPI ze zmiennych EFI jest zabroniony, manipulacje na portach I/O nie są zabronione dozwolone, łącznie ze zmianą numeru przerwania i portu we/wy dla portu szeregowego.
Mechanizm Lockdown został niedawno dodany do głównego jądra Linuksa
W Ubuntu i Fedorze dostępna jest kombinacja klawiszy Alt+SysRq+X, aby wyłączyć blokadę. Rozumie się, że kombinacji Alt+SysRq+X można używać tylko przy fizycznym dostępie do urządzenia, a w przypadku zdalnego włamania się i uzyskania dostępu do roota atakujący nie będzie mógł wyłączyć Lockdown i np. załadować moduł z rootkitem, który nie jest cyfrowo wpisany do jądra.
Andrey Konovalov pokazał, że oparte na klawiaturze metody potwierdzania fizycznej obecności użytkownika są nieskuteczne. Najprostszym sposobem wyłączenia blokady byłoby programowo
Pierwsza metoda polega na użyciu interfejsu „sysrq-trigger” - aby go zasymulować, wystarczy włączyć ten interfejs, wpisując „1” do /proc/sys/kernel/sysrq, a następnie wpisując „x” do /proc/sysrq-trigger. Powiedziała luka
Druga metoda polega na emulacji klawiatury poprzez
Źródło: opennet.ru