Programeri projekta Grsecurity objavio informacije o sigurnosnim problemima koji su pronađeni u predloženoj zakrpi za poboljšanje sigurnosti Linux kernela od strane zaposlenika kompanije Huawei, prisustvo trivijalno iskorišćene ranjivosti u setu zakrpa HKSP (Huawei Kernel Self Protection).
Ove “HKSP” zakrpe je objavio zaposlenik Huawei prije 5 dana i uključuju spominjanje Huaweija na GitHub profilu i korištenje riječi Huawei u dekodiranju naziva projekta (HKSP – Huawei Kernel Self Protection), iako Emplado spominje da projekat nema nikakve veze sa kompanijom i da je njegovo autorsko delo.
Ovaj projekat sam istraživao u slobodno vrijeme, ime hksp-u sam dao sam, nije vezan za Huawei kompaniju, ne postoji Huawei proizvod koji koristi ovaj kod.
Ovaj patch kod sam kreirao, jer jedna osoba nema dovoljno energije da pokrije sve. Stoga postoji nedostatak osiguranja kvaliteta kao što su pregled i testiranje.
O HKSP-u
HKSP uključuje promjene kao što je randomizacija kompromisi u strukturi, zaštita od napada na prostor imena korisnički ID (imenski prostor pid), procesno odvajanje stekova iz mmap područja, otkrivanje dvostrukog poziva kfree funkciji, blokiranje curenja putem pseudo-FS/proc (/proc/{moduli, ključevi, korisnički ključ}, /proc/sys/kernel/* i /proc/sys /vm/mmap_min_addr , /proc/kallsyms), poboljšana randomizacija adresa u korisničkom prostoru, dodatna Ptrace zaštita, poboljšana smap i smep zaštita, mogućnost zabrane slanja podataka preko neobrađenih utičnica, blokiranje adresa Nevažeći UDP soketi i provjere i integritet pokrenutih procesa.
Okvir također uključuje modul kernela Ksguard, namijenjen identifikaciji pokušaja uvođenja tipičnih rootkita.
Zakrpe su izazvale interesovanje za Grega Kroah-Hartmana, odgovoran za održavanje stabilne grane Linux kernela, koji zamolio je autora da podijeli monolitnu zakrpu na dijelove kako bi pojednostavio pregled i unapređenje u centralni sastav.
Kees Cook (Kees Cook), voditelj projekta za promoviranje tehnologije aktivne zaštite u Linux kernelu, također je pozitivno govorio o zakrpama, a problemi su skrenuli pažnju na x86 arhitekturu i prirodu notifikacije mnogih načina rada samo za prijavu informacija o problemu , ali ne pokušava ga blokirati.
Studija zakrpe koju su sproveli programeri Grsecurity otkrili mnoge greške i slabosti u kodu a također je pokazao odsustvo modela prijetnji koji omogućava adekvatnu procjenu sposobnosti projekta.
Da bi se ilustrovalo da je kod napisan bez upotrebe sigurnih metoda programiranja, Primjer trivijalne ranjivosti je dat u /proc/ksguard/state rukovatelju datotekama, koji je kreiran sa dozvolama 0777, što znači da svi imaju pristup pisanju.
Funkcija ksg_state_write koja se koristi za raščlanjivanje naredbi napisanih u /proc/ksguard/state kreira tmp bafer [32], u koji se upisuju podaci na osnovu veličine prenesenog operanda, bez razmatranja veličine odredišnog bafera i bez provjere parametra sa veličinom niza. To jest, da bi prepisao dio steka kernela, napadač treba samo da napiše posebno kreiranu liniju u /proc/ksguard/state.
Po prijemu odgovora, programer je komentirao stranicu projekta “HKSP” GitHub Retroaktivno nakon otkrića ranjivosti, dodao je i napomenu da projekat napreduje u njegovo slobodno vrijeme za istraživanje.
Hvala timu za sigurnost što je pronašao mnogo grešaka u ovoj zakrpi.
ksg_guard je primjer poc za otkrivanje rootkita na nivou kernela, komunikacija korisnika i kernela je pokretanje proc interfejsa, moja izvorna svrha je da brzo provjerim ideju, tako da ne dodajem dovoljno sigurnosnih provjera.Zapravo, provjera rootkita na nivou kernela još uvijek treba da se razgovara sa zajednicom, da li je potrebno dizajnirati ARK (anti rootkit) alat za Linux sistem...