Andrey Konovalov ti Google cara nganonaktipkeun panyalindungan jarak jauh ditawarkeun dina pakét kernel Linux anu dikirimkeun sareng Ubuntu (téhnik sacara téoritis disarankeun dianggo sareng kernel Fedora sareng distribusi anu sanés, tapi henteu diuji).
Lockdown ngabatesan aksés pangguna akar kana kernel sareng meungpeuk jalur bypass UEFI Secure Boot. Contona, dina modeu lockdown, aksés ka /dev/mem, /dev/kmem, /dev/port, /proc/kcore, debugfs, mode debugging kprobes, mmiotrace, tracefs, BPF, PCMCIA CIS (Struktur Émbaran Kartu), sababaraha interfaces kawates ACPI jeung MSR registers CPU, nelepon ka kexec_file na kexec_load diblokir, mode sare dilarang, pamakéan DMA pikeun alat PCI diwatesan, impor kode ACPI tina variabel EFI dilarang, manipulasi jeung I / O port henteu. diwenangkeun, kaasup ngarobah jumlah ngaganggu jeung I / O port pikeun port serial.
Mékanisme Lockdown nembé ditambah kana kernel Linux utama , Tapi dina kernels disadiakeun dina distribusi masih dilaksanakeun dina bentuk patch atawa supplemented kalawan patch. Salah sahiji bédana antara tambihan anu disayogikeun dina kit distribusi sareng palaksanaan anu diwangun kana kernel nyaéta kamampuan nganonaktipkeun konci anu disayogikeun upami anjeun gaduh aksés fisik kana sistem.
Dina Ubuntu sareng Fedora, kombinasi konci Alt + SysRq + X disayogikeun pikeun nganonaktipkeun Lockdown. Kahartos yén kombinasi Alt + SysRq + X ngan ukur tiasa dianggo kalayan aksés fisik kana alat, sareng dina kasus hacking jauh sareng kéngingkeun aksés root, panyerang moal tiasa nganonaktipkeun Lockdown sareng, contona, ngamuat a modul kalawan rootkit nu teu digital asup kana kernel.
Andrey Konovalov némbongkeun yén métode basis keyboard pikeun confirming ayana fisik pamaké teu epektip. Cara pangbasajanna pikeun nganonaktipkeun Lockdown nyaéta sacara terprogram mencét Alt + SysRq + X via / dev / uinput, tapi pilihan ieu mimitina diblokir. Dina waktos anu sami, kamungkinan pikeun ngaidentipikasi sahenteuna dua metode substitusi Alt + SysRq + X.
Metodeu munggaran ngalibatkeun ngagunakeun panganteur "sysrq-pemicu" - mun simulate eta, ngan aktipkeun panganteur ieu ku nulis "1" ka /proc/sys/kernel/sysrq, lajeng nulis "x" ka /proc/sysrq-pemicu. Ceuk lolongkrang dina update kernel Ubuntu Désémber sarta di Fedora 31. Éta noteworthy yén pamekar, sakumaha dina kasus / dev / uinput, mimitina meungpeuk metoda ieu, tapi meungpeuk teu dianggo alatan dina kode.
Metodeu kadua ngalibatkeun emulation keyboard via lajeng ngirim runtuyan Alt + SysRq + X ti keyboard virtual. Kernel USB/IP anu dikirimkeun sareng Ubuntu diaktipkeun sacara standar (CONFIG_USBIP_VHCI_HCD=m sareng CONFIG_USBIP_CORE=m) sareng nyayogikeun modul usbip_core sareng vhci_hcd anu ditandatanganan sacara digital pikeun operasi. Panyerang tiasa alat USB virtual, pawang jaringan dina panganteur loopback tur sambungkeun salaku alat USB jauh ngagunakeun USB / IP. Ngeunaan métode dieusian ka pamekar Ubuntu, tapi fix teu acan dileupaskeun.
sumber: opennet.ru