Die Entwickler des Grsecurity-Projekts veröffentlichte Informationen zu Sicherheitsfragen das wurden gefunden in einem vorgeschlagenen Patch zur Verbesserung der Linux-Kernel-Sicherheit durch einen Huawei-Mitarbeiter, das Vorhandensein einer trivial ausgenutzten Sicherheitsanfälligkeit im Patch-Set HKSP (Huawei Kernel Selbstschutz).
Diese „HKSP“ -Patches wurden vor 5 Tagen von einem Huawei-Mitarbeiter veröffentlicht. Sie enthalten die Erwähnung von Huawei im GitHub-Profil und verwenden das Wort Huawei bei der Dekodierung des Projektnamens (HKSP - Huawei Kernel Self Protection), obwohl der Emplado dies erwähnt dass das Projekt nichts mit dem Unternehmen zu tun hat und sein eigenes ist.
Dieses Projekt hat meine Recherchen in meiner Freizeit durchgeführt, der Name hksp wurde von mir selbst angegeben, es ist nicht mit der Firma Huawei verwandt, es gibt kein Huawei-Produkt, das diesen Code verwendet.
Dieser Patch-Code wurde von mir erstellt, da eine Person nicht genug Energie hat, um alles abzudecken. Daher mangelt es an Qualitätssicherung wie Überprüfung und Test.
Über HKSP
HKSP beinhaltet Änderungen wie Randomisierung von Strukturkompromisse, Schutz vor Namespace-Angriffen Benutzer-ID (Namespace-PID), Prozessstapeltrennung aus dem mmap-Bereich, kfree-Funktion, doppelte Anruferkennung, Leckblockierung über Pseudo-FS / proc (/ proc / {Module, Schlüssel, Schlüsselbenutzer}, / proc / sys / kernel / * und / proc / sys / vm / mmap_min_addr, / proc / kallsyms), verbesserte Randomisierung von Adressen im Benutzerbereich, zusätzlicher Schutz von Ptrace, verbesserter Schutz von smap und smep, die Möglichkeit, das Senden von Daten über Raw-Sockets zu verbieten, Adressen zu blockieren, die in UDP-Sockets und -Prüfungen ungültig sind, und die Integrität laufender Prozesse .
Das Framework enthält auch das Ksguard-Kernelmodul, mit dem Versuche identifiziert werden sollen, typische Rootkits einzuführen.
Die Patches weckten das Interesse an Greg Kroah-Hartman, verantwortlich für die Aufrechterhaltung eines stabilen Zweigs des Linux-Kernels, wer wird bat den Autor, den monolithischen Fleck in Teile zu teilen, um die Überprüfung zu vereinfachen und Beförderung zur zentralen Komposition.
Kees Cook (Kees Cook), Leiter des Projekts zur Förderung der aktiven Schutztechnologie im Linux-Kernel, äußerte sich ebenfalls positiv zu Patches, und die Probleme machten auf die x86-Architektur und die Art der Benachrichtigung vieler Modi aufmerksam, in denen nur Informationen über das System aufgezeichnet werden Problem, aber nicht Versuchen Sie es zu blockieren.
Eine Patch-Studie der Grsecurity-Entwickler enthüllte viele Fehler und Schwächen im Code Es zeigte sich auch das Fehlen eines Bedrohungsmodells, das eine angemessene Bewertung der Projektkapazitäten ermöglicht.
Um zu veranschaulichen, dass der Code ohne sichere Programmiermethoden geschrieben wurde, Ein Beispiel für eine geringfügige Sicherheitsanfälligkeit finden Sie im Dateihandler / proc / ksguard / state, der mit den Berechtigungen 0777 erstellt wird. Dies bedeutet, dass jeder Schreibzugriff hat.
Die Funktion ksg_state_write, mit der die in / proc / ksguard / state geschriebenen Befehle analysiert werden, erstellt einen Puffer tmp [32], in den die Daten basierend auf der Größe des übergebenen Operanden geschrieben werden, unabhängig von der Größe des Zielpuffers und ohne Überprüfung der Parameter mit der Größe der Zeichenfolge. Mit anderen Worten, um einen Teil des Kernel-Stacks zu überschreiben, muss der Angreifer nur eine speziell gestaltete Zeile in / proc / ksguard / state schreiben.
Nach Erhalt der Antwort Der Entwickler kommentierte die GitHub-Seite des Projekts „HKSP“. rückwirkend nach der Entdeckung der Sicherheitslücke fügte er hinzu, dass das Projekt in seiner Freizeit für die Forschung voranschreitet.
Vielen Dank an das Sicherheitsteam für das Auffinden vieler Fehler in diesem Patch.
Der ksg_guard ist ein Beispielbit zum Erkennen von Rootkits auf Kernel-Ebene. Die Benutzer- und Kernel-Kommunikation startet die Proc-Schnittstelle. Mein Quellzweck ist es, die Idee schnell zu überprüfen, damit ich nicht genügend Sicherheitsüberprüfungen hinzufüge.Das eigentliche Überprüfen des Rootkits auf Kernel-Ebene muss noch mit der Community besprochen werden, wenn ein ARK-Tool (Anti-Rootkit) für Linux-Systeme entwickelt werden muss ...