Pengembang proyek Grsecurity merilis informasi tentang masalah keamanan yang ditemukan dalam tambalan yang diusulkan untuk meningkatkan keamanan kernel Linux oleh karyawan Huawei, adanya kerentanan yang dieksploitasi secara sepele di set tambalan HKSP (Perlindungan Diri Kernel Huawei).
Tambalan "HKSP" ini diterbitkan oleh karyawan Huawei 5 hari yang lalu dan menyertakan penyebutan Huawei di profil GitHub dan menggunakan kata Huawei dalam pengodean nama proyek (HKSP - Huawei Kernel Self Protection), meskipun Perusahaan menyebutkan bahwa proyek tersebut tidak ada hubungannya dengan perusahaan dan merupakan miliknya sendiri.
Proyek ini sudah saya lakukan riset di waktu senggang, nama hksp diberikan sendiri, tidak ada kaitannya dengan perusahaan huawei, tidak ada produk huawei yang menggunakan kode ini.
Kode tambalan ini dibuat oleh saya, karena satu orang tidak memiliki cukup energi untuk mencakup semuanya. Oleh karena itu, penjaminan kualitas seperti review dan pengujian masih kurang.
Tentang HKSP
HKSP termasuk perubahan seperti pengacakan struktur pengorbanan, perlindungan serangan namespace ID Pengguna (namespace pid), proses pemisahan tumpukan area mmap, deteksi panggilan ganda fungsi kfree, pemblokiran kebocoran melalui pseudo-FS / proc (/ proc / {modules, keys, key users}, / proc / sys / kernel / * dan / proc / sys / vm / mmap_min_addr, / proc / kallsyms), pengacakan alamat yang ditingkatkan di ruang pengguna, perlindungan tambahan Ptrace, perlindungan smap dan smep yang ditingkatkan, kemampuan untuk melarang pengiriman data melalui soket mentah, memblokir alamat Tidak valid di soket UDP dan pemeriksaan serta integritas proses yang berjalan.
Kerangka kerja ini juga menyertakan modul kernel Ksguard, yang dimaksudkan untuk mengidentifikasi upaya untuk memperkenalkan rootkit biasa.
Tambalan tersebut memicu minat pada Greg Kroah-Hartman, bertanggung jawab untuk memelihara cabang stabil dari kernel Linux, siapa yang mau meminta penulis untuk membagi tambalan monolitik menjadi beberapa bagian untuk mempermudah tinjauan dan promosi ke komposisi sentral.
Kees Cook (Kees Cook), kepala proyek untuk mempromosikan teknologi perlindungan aktif di kernel Linux, juga berbicara secara positif tentang tambalan, dan masalah tersebut menarik perhatian ke arsitektur x86 dan sifat pemberitahuan dari banyak mode yang hanya merekam informasi tentang masalah, tapi tidak Cobalah untuk memblokirnya.
Sebuah studi patch oleh developer Grsecurity mengungkapkan banyak bug dan kelemahan dalam kode dan itu juga menunjukkan tidak adanya model ancaman yang memungkinkan evaluasi yang memadai terhadap kapasitas proyek.
Untuk menggambarkan bahwa kode itu ditulis tanpa menggunakan metode pemrograman yang aman, Contoh kerentanan sepele tersedia di file handler / proc / ksguard / state, yang dibuat dengan izin 0777, yang berarti setiap orang memiliki akses tulis.
Fungsi ksg_state_write digunakan untuk mengurai perintah yang ditulis di / proc / ksguard / state membuat buffer tmp [32], di mana data ditulis berdasarkan ukuran operan yang diteruskan, tanpa mempertimbangkan ukuran buffer tujuan dan tanpa memeriksa parameter dengan ukuran string. Dengan kata lain, untuk menimpa bagian dari tumpukan kernel, penyerang hanya perlu menulis baris yang dibuat khusus di / proc / ksguard / state.
Setelah menerima balasan, pengembang berkomentar di halaman GitHub dari proyek "HKSP" retroaktif setelah penemuan kerentanan, dia juga menambahkan catatan bahwa proyek sedang berlangsung di waktu luangnya untuk penelitian.
Terima kasih kepada tim keamanan untuk menemukan banyak bug di tambalan ini.
Ksg_guard adalah contoh bit untuk mendeteksi rootkit pada tingkat kernel, komunikasi pengguna dan kernel meluncurkan antarmuka proc, tujuan sumber saya adalah untuk memeriksa gagasan dengan cepat sehingga saya tidak menambahkan pemeriksaan keamanan yang cukup.Sebenarnya memverifikasi rootkit di level kernel masih harus berdiskusi dengan komunitas, jika perlu mendesain tool ARK (anti rootkit) untuk sistem Linux ...