Les développeurs du projet Grsecurity publié des informations sur les problèmes de sécurité qui ont été trouvés dans un correctif proposé pour améliorer la sécurité du noyau Linux par un employé de Huawei, la présence d'une vulnérabilité exploitée de manière triviale dans l'ensemble de correctifs HKSP (Autoprotection du noyau Huawei).
Ces correctifs «HKSP» ont été publiés par un employé de Huawei il y a 5 jours et incluent la mention de Huawei dans le profil GitHub et utilisent le mot Huawei dans le décodage du nom du projet (HKSP - Huawei Kernel Self Protection), même si le emplado mentionne que le projet n'a rien à voir avec l'entreprise et est le sien.
Ce projet a fait mes recherches pendant mon temps libre, le nom hksp a été donné par moi-même, il n'est pas lié à la société Huawei, il n'y a pas de produit Huawei qui utilise ce code.
Ce code de patch a été créé par moi car une personne n'a pas assez d'énergie pour tout couvrir. Par conséquent, il y a un manque d'assurance de la qualité comme l'examen et les tests.
À propos de HKSP
HKSP comprend des changements tels que la randomisation de compromis de structure, protection contre les attaques d'espace de noms ID utilisateur (espace de noms pid), séparation de la pile de processus zone mmap, détection de double appel de fonction kfree, blocage des fuites via pseudo-FS / proc (/ proc / {modules, clés, utilisateurs clés}, / proc / sys / kernel / * et / proc / sys / vm / mmap_min_addr, / proc / kallsyms), meilleure randomisation des adresses dans l'espace utilisateur, protection supplémentaire de Ptrace, protection améliorée pour smap et smep, possibilité d'interdire l'envoi de données via des sockets bruts, blocage d'adresses Non valide sur les sockets UDP et les contrôles et l'intégrité des processus en cours d'exécution.
Le framework comprend également le module du noyau Ksguard, destiné à identifier les tentatives d'introduction de rootkits typiques.
Les patchs ont suscité l'intérêt de Greg Kroah-Hartman, responsable du maintien d'une branche stable du noyau Linux, qui a demandé à l'auteur de diviser le patch monolithique en plusieurs parties pour simplifier la revue et promotion à la composition centrale.
Kees Cook (Kees Cook), chef du projet de promotion de la technologie de protection active dans le noyau Linux, a également parlé positivement des correctifs, et les problèmes ont attiré l'attention sur l'architecture x86 et la nature de la notification de nombreux modes qui n'enregistrent que informations sur le problème, mais pas Essayez de le bloquer.
Une étude de patch par les développeurs de Grsecurity a révélé de nombreux bugs et faiblesses dans le code Elle a également montré l'absence d'un modèle de menace permettant une évaluation adéquate des capacités du projet.
Pour illustrer que le code a été écrit sans utiliser de méthodes de programmation sécurisées, Un exemple de vulnérabilité triviale est fourni dans le gestionnaire de fichiers / proc / ksguard / state, qui est créé avec les autorisations 0777, ce qui signifie que tout le monde a un accès en écriture.
La fonction ksg_state_write utilisée pour analyser les commandes écrites dans / proc / ksguard / state crée un tampon tmp [32], dans lequel les données sont écrites en fonction de la taille de l'opérande passé, sans tenir compte de la taille du tampon de destination et sans vérifier le paramètre avec la taille de la chaîne. En d'autres termes, pour écraser une partie de la pile du noyau, l'attaquant n'a besoin que d'écrire une ligne spécialement conçue dans / proc / ksguard / state.
Dès réception de la réponse, le développeur a commenté la page GitHub du projet "HKSP" rétroactivement après la découverte de la vulnérabilité, il a également ajouté une note indiquant que le projet progressait pendant son temps libre pour la recherche.
Merci à l'équipe de sécurité d'avoir trouvé de nombreux bugs dans ce patch.
Le ksg_guard est un exemple de bit pour détecter les rootkits au niveau du noyau, la communication entre l'utilisateur et le noyau lance l'interface proc, mon objectif source est de vérifier l'idée rapidement afin que je n'ajoute pas assez de contrôles de sécurité.En fait, vérifier le rootkit au niveau du noyau, vous devez encore discuter avec la communauté, s'il est nécessaire de concevoir un outil ARK (anti rootkit) pour le système Linux ...