Pemaju projek Grsecurity mengeluarkan maklumat mengenai masalah keselamatan yang dijumpai dalam patch yang dicadangkan untuk meningkatkan keselamatan kernel Linux oleh pekerja Huawei, adanya kerentanan yang dieksploitasi secara remeh dalam set patch HKSP (Perlindungan Diri Kernel Huawei).
Tampalan "HKSP" ini diterbitkan oleh pekerja Huawei 5 hari yang lalu dan termasuk penyebutan Huawei dalam profil GitHub dan menggunakan kata Huawei dalam penyahkodan nama projek (HKSP - Perlindungan Diri Kernel Huawei), walaupun emplado menyebut bahawa projek itu tidak ada kaitan dengan syarikat itu dan adalah miliknya.
Projek ini telah membuat kajian saya pada masa lapang, nama hksp diberikan oleh saya sendiri, ini tidak berkaitan dengan syarikat Huawei, tidak ada produk Huawei yang menggunakan kod ini.
Kod tampalan ini dibuat oleh saya kerana satu orang tidak mempunyai cukup tenaga untuk menampung segalanya. Oleh itu, terdapat kekurangan jaminan kualiti seperti tinjauan dan ujian.
Mengenai HKSP
HKSP merangkumi perubahan seperti rawak pertukaran struktur, perlindungan serangan ruang nama ID Pengguna (ruang nama pid), proses pemisahan timbunan kawasan mmap, fungsi kfree pengesanan panggilan dua kali, penyekat kebocoran melalui pseudo-FS / proc (/ proc / {modul, kunci, pengguna utama}, / proc / sys / kernel / * dan / proc / sys / vm / mmap_min_addr, / proc / kallsyms), peningkatan rawak alamat di ruang pengguna, perlindungan tambahan dari Ptrace, peningkatan perlindungan untuk smap dan smep, kemampuan untuk melarang pengiriman data melalui soket mentah, menyekat alamat Tidak sah dalam soket dan pemeriksaan UDP dan integriti proses yang sedang berjalan.
Rangka kerja ini juga merangkumi modul kernel Ksguard, yang bertujuan untuk mengenal pasti usaha untuk memperkenalkan rootkit khas.
Perbaikan tersebut menimbulkan minat terhadap Greg Kroah-Hartman, bertanggungjawab untuk mengekalkan cawangan kernel Linux yang stabil, siapa yang akan meminta penulis membahagikan tampalan monolitik kepada beberapa bahagian untuk memudahkan tinjauan dan promosi ke komposisi pusat.
Kees Cook (Kees Cook), ketua projek untuk mempromosikan teknologi perlindungan aktif di kernel Linux, juga berbicara positif mengenai tambalan, dan masalah-masalah tersebut menarik perhatian pada seni bina x86 dan sifat pemberitahuan banyak mod yang hanya merekodkan maklumat mengenai masalah itu, tetapi jangan Cuba untuk menyekatnya.
Kajian tampalan oleh pemaju Grsecurity mendedahkan banyak bug dan kelemahan dalam kod tersebut Ini juga menunjukkan tidak adanya model ancaman yang memungkinkan penilaian yang mencukupi mengenai kemampuan projek.
Untuk menggambarkan bahawa kod tersebut ditulis tanpa menggunakan kaedah pengaturcaraan yang selamat, Contoh kerentanan sepele diberikan dalam pengendali fail / proc / ksguard / keadaan, yang dibuat dengan izin 0777, yang bermaksud setiap orang mempunyai akses menulis.
Fungsi ksg_state_write yang digunakan untuk menguraikan perintah yang ditulis dalam / proc / ksguard / state membuat buffer tmp [32], di mana data ditulis berdasarkan ukuran operan yang dilalui, tanpa mempertimbangkan ukuran buffer tujuan dan tanpa memeriksa parameter dengan ukuran rentetan. Dengan kata lain, untuk menimpa sebahagian daripada timbunan kernel, penyerang hanya perlu menulis baris yang dibuat khas di / proc / ksguard / state.
Setelah mendapat jawapan, pemaju memberi komen di halaman GitHub projek "HKSP" secara retroaktif setelah penemuan kerentanan dia juga menambahkan catatan bahawa projek itu sedang berjalan pada waktu luangnya untuk penyelidikan.
Terima kasih kepada pasukan keselamatan kerana menemui banyak bug di patch ini.
Ksg_guard adalah sedikit contoh untuk mengesan rootkit pada peringkat kernel, pengguna dan komunikasi kernel melancarkan antara muka proc, tujuan sumber saya adalah untuk memeriksa idea dengan cepat sehingga saya tidak menambahkan pemeriksaan keselamatan yang mencukupi.Sebenarnya mengesahkan rootkit di peringkat kernel anda masih perlu berbincang dengan komuniti, jika perlu merancang alat ARK (anti rootkit) untuk sistem Linux ...