Los desarrolladores del proyecto Grsecurity dieron a conocer informaciĆ³n sobre problemas de seguridad que fueron encontrados en un parche propuesto para mejorar la seguridad del Kernel de Linux por parte de un empleado de Huawei, la presencia de una vulnerabilidad explotada trivialmente en el conjunto de parches HKSP (Huawei Kernel Self Protection).
Estos parches āHKSPā fueron publicados por un empleado de Huawei hace 5 dĆas e incluyen la menciĆ³n de Huawei en el perfil de GitHub y usan la palabra Huawei en la decodificaciĆ³n del nombre del proyecto (HKSP ā Huawei Kernel Self Protection), aun que el emplado menciona que el proyecto no tiene nada que ver con la compaƱĆa y es de autorĆa propia.
Este proyecto ha realizado mi investigaciĆ³n en el tiempo libre, el nombre de hksp fue dado por mĆ mismo, no estĆ” relacionado con la compaƱĆa Huawei, no hay ningĆŗn producto Huawei que use este cĆ³digo.
Este cĆ³digo de parche fue creado por mĆ, ya que una persona no tiene suficiente energĆa para cubrir todo. Por lo tanto, existe una falta de garantĆa de calidad como la revisiĆ³n y prueba.
Sobre HKSP
HKSP incluye cambios tales como aleatorizaciĆ³n de compensaciones en la estructura, protecciĆ³n contra ataques en el espacio de nombres de ID de usuario (espacio de nombres pid), separaciĆ³n de la pila de procesos del Ć”rea mmap, detecciĆ³n de doble llamada a la funciĆ³n kfree, bloqueo de fugas a travĆ©s del pseudo-FS/proc (/proc/{mĆ³dulos, claves, usuarios clave}, /proc/sys/kernel/* y /proc/sys/vm/mmap_min_addr,/proc/kallsyms), aleatorizaciĆ³n mejorada de direcciones en el espacio del usuario, protecciĆ³n adicional de Ptrace, protecciĆ³n mejorada de smap y smep, la capacidad de prohibir el envĆo de datos a travĆ©s de sockets sin procesar, bloqueando direcciones no vĆ”lidas en sockets UDP y cheques y la integridad de los procesos en ejecuciĆ³n.
La estructura tambiĆ©n incluye el mĆ³dulo del nĆŗcleo Ksguard, destinado a identificar intentos de introducir rootkits tĆpicos.
Los parches despertaron interĆ©s en Greg Kroah-Hartman, responsable de mantener una rama estable del kernel de Linux, quien le pidiĆ³ al autor que dividiera el parche monolĆtico en partes para simplificar la revisiĆ³n y promociĆ³n a la composiciĆ³n central.
Kees Cook (Kees Cook), jefe del proyecto para promover la tecnologĆa de protecciĆ³n activa en el kernel de Linux, tambiĆ©n hablĆ³ positivamente sobre los parches y los problemas llamaron la atenciĆ³n sobre la arquitectura x86 y la naturaleza de notificaciĆ³n de muchos modos que solo registran informaciĆ³n sobre el problema, pero no Intenta bloquearlo.
Un estudio del parche realizado por los desarrolladores de Grsecurity revelĆ³ muchos errores y debilidades en el cĆ³digo y tambiĆ©n mostrĆ³ la ausencia de un modelo de amenaza que permita una evaluaciĆ³n adecuada de las capacidades del proyecto.
Para ilustrar que el cĆ³digo se escribiĆ³ sin utilizar mĆ©todos de programaciĆ³n seguros, se proporciona un ejemplo de vulnerabilidad trivial en el controlador de archivos /proc/ksguard/state, que se crea con permisos 0777, lo que significa que todos tienen acceso de escritura.
La funciĆ³n ksg_state_write utilizada para analizar los comandos escritos en /proc/ksguard/state crea un bĆŗfer tmp [32], en el que los datos se escriben en funciĆ³n del tamaƱo del operando transferido, sin considerar el tamaƱo del bĆŗfer de destino y sin verificar el parĆ”metro con el tamaƱo de la cadena. Es decir para sobrescribir parte de la pila del kernel, el atacante solo necesita escribir una lĆnea especialmente diseƱada en /proc/ksguard/state.
Al recibir respuesta, el desarrollador comento en la pĆ”gina de GitHub del proyecto āHKSPā retroactivamente despuĆ©s del descubrimiento de vulnerabilidad tambiĆ©n agregĆ³ una nota de que el proyecto estĆ” progresando en su tiempo libre para la investigaciĆ³n.
Gracias al equipo de seguridad por encontrar muchos errores en este parche.
El ksg_guard es un poc de muestra para detectar rootkits a nivel de kernel, la comunicaciĆ³n del usuario y del nĆŗcleo es lanzar la interfaz proc, mi propĆ³sito de origen es verificar la idea rĆ”pidamente, por lo que no agrego suficientes controles de seguridad.En realidad, verificar el rootkit en el nivel del kernel aĆŗn debe discutir con la comunidad, si es necesario diseƱar una herramienta ARK (anti rootkit) para el sistema Linux ā¦