Ze ontdekten beveiligingsproblemen in Linux-kernelpatches die waren voorgesteld door een Huawei-medewerker

De ontwikkelaars van het Grsecurity-project vrijgegeven informatie over beveiligingskwesties die werden gevonden in een door een Huawei-medewerker voorgestelde patch om de Linux-kernelbeveiliging te verbeteren, de aanwezigheid van een triviaal misbruikte kwetsbaarheid in de patchset HKSP (Huawei Kernel Zelfbescherming).

Deze "HKSP" -patches werden 5 dagen geleden gepubliceerd door een Huawei-medewerker en bevatten de vermelding van Huawei in het GitHub-profiel en gebruiken het woord Huawei bij het decoderen van de projectnaam (HKSP - Huawei Kernel Self Protection), hoewel de emplado vermeldt dat het project niets met het bedrijf te maken heeft en van hemzelf is.

Dit project heeft mijn onderzoek in mijn vrije tijd gedaan, de hksp-naam heb ik zelf gegeven, het is niet gerelateerd aan het Huawei-bedrijf, er is geen Huawei-product dat deze code gebruikt.

Deze patchcode is door mij gemaakt omdat één persoon niet genoeg energie heeft om alles te dekken. Daarom is er een gebrek aan kwaliteitsborging zoals review en test.

Over HKSP

HKSP omvat veranderingen zoals randomisatie van structuur afwegingen, bescherming van de naamruimte gebruikers-ID (naamruimte pid), processtapelscheiding uit het mmap-gebied, kfree-functie dubbele oproepdetectie, lekblokkering via pseudo-FS / proc (/ proc / {modules, keys, key users}, / proc / sys / kernel / * en / proc / sys / vm / mmap_min_addr, / proc / kallsiemen), verbeterde randomisatie van adressen in gebruikersruimte, extra bescherming van Ptrace, verbeterde bescherming van smap en smep, de mogelijkheid om het verzenden van gegevens via onbewerkte sockets te verbieden, adressen blokkeren Ongeldig in UDP-sockets en controles en de integriteit van actieve processen.

Het framework bevat ook de Ksguard-kernelmodule, bedoeld om pogingen om typische rootkits te introduceren te identificeren.

De patches wekten interesse in Greg Kroah-Hartman, verantwoordelijk voor het onderhouden van een stabiele tak van de Linux-kernel, wie zal vroeg de auteur om de monolithische patch in delen te verdelen om de review te vereenvoudigen en promotie naar de centrale samenstelling.

Kees Cook (Kees Cook), hoofd van het project ter bevordering van actieve beschermingstechnologie in de Linux-kernel, sprak ook positief over patches, en de problemen vestigden de aandacht op de x86-architectuur en de aard van de notificatie van veel modi die alleen informatie over het probleem, maar probeer het niet te blokkeren.

Een patchstudie door de ontwikkelaars van Grsecurity onthulde veel bugs en zwakheden in de code Het toonde ook aan dat er geen dreigingsmodel is dat een adequate evaluatie van de capaciteiten van het project mogelijk maakt.

Om te illustreren dat de code is geschreven zonder veilige programmeermethoden te gebruiken, Een voorbeeld van een triviale kwetsbaarheid wordt gegeven in de / proc / ksguard / state bestandshandler, die is gemaakt met machtigingen 0777, wat betekent dat iedereen schrijftoegang heeft.

De ksg_state_write-functie die wordt gebruikt om de commando's geschreven in / proc / ksguard / state te ontleden, maakt een buffer tmp [32], waarin de gegevens worden geschreven op basis van de grootte van de doorgegeven operand, ongeacht de grootte van de bestemmingsbuffer en zonder te controleren de parameter met de grootte van de string. Met andere woorden, om een ​​deel van de kernelstack te overschrijven, hoeft de aanvaller alleen een speciaal vervaardigde regel in / proc / ksguard / state te schrijven.

Na ontvangst van antwoord, de ontwikkelaar reageerde op de GitHub-pagina van het project "HKSP" hij voegde met terugwerkende kracht na de ontdekking van de kwetsbaarheid een opmerking toe dat het project in zijn vrije tijd voor onderzoek vordert.

Dank aan het beveiligingsteam voor het vinden van veel bugs in deze patch.
De ksg_guard is een voorbeeldbit voor het detecteren van rootkits op kernelniveau, de gebruiker en de kernelcommunicatie starten de proc-interface, mijn brondoel is om het idee snel te controleren, zodat ik niet genoeg veiligheidscontroles toevoeg.

Het verifiëren van rootkit op kernelniveau moet je nog steeds bespreken met de gemeenschap, indien nodig om ARK (anti rootkit) tool voor Linux-systeem te ontwerpen ...


Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.