Udviklerne af Grsecurity-projektet frigivet information om sikkerhedsspĂžrgsmĂ„l der blev fundet i et foreslĂ„et program til forbedring af Linux-kernesikkerhed af en Huawei-medarbejder, tilstedevĂŠrelsen af ââen trivielt udnyttet sĂ„rbarhed i patch-sĂŠttet HKSP (Huawei Kernel Selvbeskyttelse).
Disse âHKSPâ -rettelser blev offentliggjort af en Huawei-medarbejder for 5 dage siden og inkluderer omtalelsen af ââHuawei i GitHub-profilen og bruger ordet Huawei i afkodningen af ââprojektnavnet (HKSP - Huawei Kernel Self Protection), selvom emplado nĂŠvner at projektet ikke har noget at gĂžre med virksomheden og er hans eget.
Dette projekt har udfĂžrt min forskning i min fritid, hksp-navnet blev givet af mig selv, det er ikke relateret til Huawei-firmaet, der er intet Huawei-produkt, der bruger denne kode.
Denne patch-kode blev oprettet af mig, da en person ikke har nok energi til at dÊkke alt. Derfor mangler der kvalitetssikring sÄsom gennemgang og test.
Om HKSP
HKSP inkluderer ĂŠndringer sĂ„som randomisering af struktur kompromiser, namespace angreb beskyttelse bruger-ID (namespace pid), proces stak adskillelse fra mmap-omrĂ„det, kfree-funktion dobbelt opkaldsdetektion, lĂŠkageblokering via pseudo-FS / proc (/ proc / {moduler, nĂžgler, nĂžglebrugere}, / proc / sys / kernel / * og / proc / sys / vm / mmap_min_addr, / proc / kallsyms), forbedret randomisering af adresser i brugerrummet, yderligere beskyttelse af Ptrace, forbedret beskyttelse af smap og smep, muligheden for at forbyde afsendelse af data gennem rĂ„ sockets, blokerende adresser Ugyldig i UDP-sockets og checks og integriteten af ââkĂžrende processer .
Rammen inkluderer ogsÄ Ksguard kernemodulet, der er beregnet til at identificere forsÞg pÄ at introducere typiske rootkits.
Plasterne udlĂžste interesse for Greg Kroah-Hartman, ansvarlig for at opretholde en stabil gren af ââLinux-kernen, hvem vil bad forfatteren om at opdele det monolitiske plaster i dele for at forenkle gennemgangen og forfremmelse til den centrale sammensĂŠtning.
Kees Cook (Kees Cook), leder af projektet til fremme af aktiv beskyttelsesteknologi i Linux-kernen, talte ogsĂ„ positivt om patches, og problemerne henledte opmĂŠrksomheden pĂ„ x86-arkitekturen og arten af ââunderretning af mange tilstande, der kun registrerer information om problem, men prĂžv ikke at blokere det.
En patch-undersÞgelse foretaget af Grsecurity-udviklerne afslÞrede mange fejl og svagheder i koden Det viste ogsÄ fravÊret af en trusselmodel, der muliggÞr en tilstrÊkkelig evaluering af projektets kapacitet.
For at illustrere, at koden blev skrevet uden brug af sikre programmeringsmetoder, Et eksempel pÄ en triviel sÄrbarhed findes i filhÄndteringen / proc / ksguard / state, som oprettes med tilladelser 0777, hvilket betyder, at alle har skriveadgang.
Funktionen ksg_state_write, der bruges til at analysere de kommandoer, der er skrevet i / proc / ksguard / state, opretter en buffer tmp [32], hvor dataene skrives baseret pĂ„ stĂžrrelsen pĂ„ den bestĂ„ede operand, uanset stĂžrrelsen af ââdestinationsbufferen og uden kontrol parameteren med strengens stĂžrrelse. Med andre ord, for at overskrive en del af kernestakken skal angriberen kun skrive en specielt udformet linje i / proc / ksguard / state.
Efter modtagelse af svar, udvikleren kommenterede GitHub-siden i projektet âHKSPâ med tilbagevirkende kraft efter sĂ„rbarhedsopdagelsen tilfĂžjede han ogsĂ„ en note om, at projektet skrider frem i sin fritid til forskning.
Tak til sikkerhedsteamet for at finde mange fejl i denne patch.
Ksg_guard er en prÞvebit til detektering af rootkits pÄ kerneniveau, bruger- og kernekommunikation lancerer proc-grÊnsefladen, min kilde er at kontrollere ideen hurtigt, sÄ jeg ikke tilfÞjer nok sikkerhedskontrol.Faktisk verificering af rootkit pÄ kerneniveau skal du stadig diskutere med community, hvis det er nÞdvendigt at designe ARK (anti rootkit) vÊrktÞj til Linux-system ...