No núcleo Linux Foi identificada uma vulnerabilidade (CVE-2022-21505) que permite contornar facilmente o mecanismo de proteção Lockdown, o qual restringe o acesso do usuário root ao kernel e bloqueia as tentativas de burlar o Secure Boot da UEFI. A tentativa de contornar a vulnerabilidade envolve o uso do subsistema do kernel IMA (Integrity Measurement Architecture), projetado para verificar a integridade dos componentes do sistema operacional por meio de assinaturas digitais e hashes.
O modo de bloqueio restringe o acesso a /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, modo de depuração kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (estrutura de informações do cartão), algumas interfaces ACPI e CPU Registros MSR, chamadas kexec_file e kexec_load são bloqueadas, o modo de suspensão é proibido, o uso de DMA para dispositivos PCI é limitado, a importação de código ACPI de variáveis EFI é proibida, manipulações com portas de E/S não são permitidas, incluindo alteração do número de interrupção e da porta I /O para porta serial.
A essência da vulnerabilidade é que ao usar o parâmetro de inicialização “ima_appraise=log”, é possível chamar kexec para carregar uma nova cópia do kernel se o modo Secure Boot não estiver ativo no sistema e o modo Lockdown for usado separadamente a partir dele. O IMA não permite que o modo “ima_appraise” seja habilitado quando o Secure Boot está ativo, mas não leva em consideração a possibilidade de usar o Lockdown separadamente do Secure Boot.
Fonte: opennet.ru
