Udviklerne af Grsecurity-projektet frigivet information om sikkerhedsspørgsmål der blev fundet i et foreslået program til forbedring af Linux-kernesikkerhed af en Huawei-medarbejder, tilstedeværelsen af en trivielt udnyttet sårbarhed i patch-sættet HKSP (Huawei Kernel Selvbeskyttelse).
Disse “HKSP” -rettelser blev offentliggjort af en Huawei-medarbejder for 5 dage siden og inkluderer omtalelsen af Huawei i GitHub-profilen og bruger ordet Huawei i afkodningen af projektnavnet (HKSP - Huawei Kernel Self Protection), selvom emplado nævner at projektet ikke har noget at gøre med virksomheden og er hans eget.
Dette projekt har udført min forskning i min fritid, hksp-navnet blev givet af mig selv, det er ikke relateret til Huawei-firmaet, der er intet Huawei-produkt, der bruger denne kode.
Denne patch-kode blev oprettet af mig, da en person ikke har nok energi til at dække alt. Derfor mangler der kvalitetssikring såsom gennemgang og test.
Om HKSP
HKSP inkluderer ændringer såsom randomisering af struktur kompromiser, namespace angreb beskyttelse bruger-ID (namespace pid), proces stak adskillelse fra mmap-området, kfree-funktion dobbelt opkaldsdetektion, lækageblokering via pseudo-FS / proc (/ proc / {moduler, nøgler, nøglebrugere}, / proc / sys / kernel / * og / proc / sys / vm / mmap_min_addr, / proc / kallsyms), forbedret randomisering af adresser i brugerrummet, yderligere beskyttelse af Ptrace, forbedret beskyttelse af smap og smep, muligheden for at forbyde afsendelse af data gennem rå sockets, blokerende adresser Ugyldig i UDP-sockets og checks og integriteten af kørende processer .
Rammen inkluderer også Ksguard kernemodulet, der er beregnet til at identificere forsøg på at introducere typiske rootkits.
Plasterne udløste interesse for Greg Kroah-Hartman, ansvarlig for at opretholde en stabil gren af Linux-kernen, hvem vil bad forfatteren om at opdele det monolitiske plaster i dele for at forenkle gennemgangen og forfremmelse til den centrale sammensætning.
Kees Cook (Kees Cook), leder af projektet til fremme af aktiv beskyttelsesteknologi i Linux-kernen, talte også positivt om patches, og problemerne henledte opmærksomheden på x86-arkitekturen og arten af underretning af mange tilstande, der kun registrerer information om problem, men prøv ikke at blokere det.
En patch-undersøgelse foretaget af Grsecurity-udviklerne afslørede mange fejl og svagheder i koden Det viste også fraværet af en trusselmodel, der muliggør en tilstrækkelig evaluering af projektets kapacitet.
For at illustrere, at koden blev skrevet uden brug af sikre programmeringsmetoder, Et eksempel på en triviel sårbarhed findes i filhåndteringen / proc / ksguard / state, som oprettes med tilladelser 0777, hvilket betyder, at alle har skriveadgang.
Funktionen ksg_state_write, der bruges til at analysere de kommandoer, der er skrevet i / proc / ksguard / state, opretter en buffer tmp [32], hvor dataene skrives baseret på størrelsen på den beståede operand, uanset størrelsen af destinationsbufferen og uden kontrol parameteren med strengens størrelse. Med andre ord, for at overskrive en del af kernestakken skal angriberen kun skrive en specielt udformet linje i / proc / ksguard / state.
Efter modtagelse af svar, udvikleren kommenterede GitHub-siden i projektet “HKSP” med tilbagevirkende kraft efter sårbarhedsopdagelsen tilføjede han også en note om, at projektet skrider frem i sin fritid til forskning.
Tak til sikkerhedsteamet for at finde mange fejl i denne patch.
Ksg_guard er en prøvebit til detektering af rootkits på kerneniveau, bruger- og kernekommunikation lancerer proc-grænsefladen, min kilde er at kontrollere ideen hurtigt, så jeg ikke tilføjer nok sikkerhedskontrol.Faktisk verificering af rootkit på kerneniveau skal du stadig diskutere med community, hvis det er nødvendigt at designe ARK (anti rootkit) værktøj til Linux-system ...