Gli sviluppatori del progetto Grsecurity informazioni rilasciate su questioni di sicurezza che sono stati trovati in una patch proposta per migliorare la sicurezza del kernel Linux da parte di un dipendente Huawei, la presenza di una vulnerabilità sfruttata banalmente nel set di patch HKSP (Autoprotezione del kernel Huawei).
Queste patch "HKSP" sono state pubblicate da un dipendente Huawei 5 giorni fa e includono la menzione di Huawei nel profilo GitHub e utilizzano la parola Huawei nella decodifica del nome del progetto (HKSP - Huawei Kernel Self Protection), anche se l'Emplado lo menziona che il progetto non ha nulla a che fare con l'azienda ed è suo.
Questo progetto ha fatto le mie ricerche nel tempo libero, il nome hksp è stato dato da me stesso, non è correlato alla società Huawei, non esiste un prodotto Huawei che utilizza questo codice.
Questo codice patch è stato creato da me, poiché una persona non ha abbastanza energia per coprire tutto. Pertanto, vi è una mancanza di garanzia di qualità come revisione e test.
Informazioni su HKSP
HKSP include cambiamenti come la randomizzazione di compromessi di struttura, protezione dagli attacchi allo spazio dei nomi ID utente (spazio dei nomi pid), separazione dello stack di processo area mmap, rilevamento doppia chiamata della funzione kfree, blocco delle perdite tramite pseudo-FS / proc (/ proc / {modules, keys, key users}, / proc / sys / kernel / * e / proc / sys / vm / mmap_min_addr, / proc / kallsyms), migliore randomizzazione degli indirizzi nello spazio utente, protezione aggiuntiva di Ptrace, protezione migliorata da smap e smep, capacità di vietare l'invio di dati tramite socket raw, blocco di indirizzi non validi nei socket UDP e controlli e integrità dei processi in esecuzione.
Il framework include anche il modulo del kernel Ksguard, destinato a identificare i tentativi di introdurre rootkit tipici.
Le patch hanno suscitato interesse per Greg Kroah-Hartman, responsabile del mantenimento di un ramo stabile del kernel Linux, chi lo farà ha chiesto all'autore di dividere il cerotto monolitico in parti per semplificare la revisione e promozione alla composizione centrale.
Anche Kees Cook (Kees Cook), capo del progetto per promuovere la tecnologia di protezione attiva nel kernel Linux, ha parlato positivamente delle patch, e le questioni hanno attirato l'attenzione sull'architettura x86 e sulla natura della notifica di molte modalità che registrano solo informazioni sul problema, ma non provare a bloccarlo.
Uno studio sulla patch degli sviluppatori di Grsecurity ha rivelato molti bug e punti deboli nel codice e ha inoltre evidenziato l'assenza di un modello di minaccia che consenta un'adeguata valutazione delle capacità del progetto.
Per illustrare che il codice è stato scritto senza utilizzare metodi di programmazione sicuri, Un esempio di una banale vulnerabilità è fornito nel gestore di file / proc / ksguard / state, creato con i permessi 0777, il che significa che tutti hanno accesso in scrittura.
La funzione ksg_state_write usata per analizzare i comandi scritti in / proc / ksguard / state crea un buffer tmp [32], in cui i dati vengono scritti in base alla dimensione dell'operando passato, senza considerare la dimensione del buffer di destinazione e senza controllare il parametro con la dimensione della stringa. In altre parole, per sovrascrivere parte dello stack del kernel, l'attaccante deve solo scrivere una riga appositamente predisposta in / proc / ksguard / state.
Dopo aver ricevuto la risposta, lo sviluppatore ha commentato sulla pagina GitHub del progetto “HKSP” retroattivamente dopo la scoperta della vulnerabilità, ha anche aggiunto una nota che il progetto sta procedendo nel suo tempo libero per la ricerca.
Grazie al team di sicurezza per aver trovato molti bug in questa patch.
Ksg_guard è un esempio di rilevamento dei rootkit a livello di kernel, la comunicazione tra utente e kernel sta avviando l'interfaccia proc, il mio scopo principale è controllare rapidamente l'idea in modo da non aggiungere abbastanza controlli di sicurezza.Effettivamente verificando il rootkit a livello di kernel devi ancora discutere con la comunità, se necessario progettare lo strumento ARK (anti rootkit) per il sistema Linux ...