Vývojári projektu Grsecurity zverejnené informácie o bezpečnostných otázkach ktoré sa našli v navrhovanej aktualizácii na zlepšenie zabezpečenia jadra Linuxu zamestnancom spoločnosti Huawei, prítomnosť triviálne zneužívanej zraniteľnosti v súprave opráv HKSP (Vlastná ochrana jadra Huawei).
Tieto opravy „HKSP“ boli zverejnené zamestnancom spoločnosti Huawei pred 5 dňami a zahŕňajú zmienku o spoločnosti Huawei v profile GitHub a používajú slovo Huawei pri dekódovaní názvu projektu (HKSP - Huawei Kernel Self Protection), aj keď emplado uvádza že projekt nemá nič spoločné so spoločnosťou a je jeho vlastný.
Tento projekt urobil môj výskum vo svojom voľnom čase, meno hksp som si dal sám, nesúvisí to so spoločnosťou Huawei, neexistuje žiadny produkt Huawei, ktorý by tento kód používal.
Tento opravný kód som vytvoril ja, pretože jedna osoba nemá dostatok energie na pokrytie všetkého. Preto chýba zabezpečenie kvality, ako napríklad kontrola a test.
O spoločnosti HKSP
HKSP zahŕňa zmeny, ako je randomizácia štruktúra kompromisov, ochrana pred útokmi v mennom priestore ID používateľa (identifikátor PID), separácia procesných komínov z oblasti mmap, detekcia dvojitého volania funkciou kfree, blokovanie únikov pomocou pseudo-FS / proc (/ proc / {moduly, kľúče, kľúčoví používatelia}, / proc / sys / kernel / * a / proc / sys / vm / mmap_min_addr, / proc / kallsyms), vylepšená randomizácia adries v užívateľskom priestore, dodatočná ochrana Ptrace, vylepšená ochrana smap a smep, možnosť zakázať posielanie dát cez surové zásuvky, blokovanie adries Neplatné v zásuvkách a kontrolách UDP a integrita bežiacich procesov .
Rámec tiež obsahuje jadrový modul Ksguard, ktorý je určený na identifikáciu pokusov o zavedenie typických rootkitov.
Opravy vyvolali záujem o Grega Kroah-Hartmana, zodpovedný za udržiavanie stabilnej vetvy jadra Linuxu, kto bude požiadal autora, aby kvôli zjednodušeniu kontroly rozdelil monolitickú záplatu na časti a povýšenie na ústredné zloženie.
Kees Cook (Kees Cook), vedúci projektu na podporu technológie aktívnej ochrany v jadre Linuxu, hovoril pozitívne aj o opravných aktualizáciách a problémy upriamili pozornosť na architektúru x86 a charakter oznamovania mnohých režimov, ktoré zaznamenávajú iba informácie o problém, ale nie Skúste to zablokovať.
Patchová štúdia vývojárov Grsecurity odhalili veľa chýb a slabostí kódu Preukázala tiež absenciu modelu ohrozenia, ktorý umožňuje adekvátne hodnotenie kapacít projektu.
Na ilustráciu, že kód bol napísaný bez použitia metód bezpečného programovania, Príklad triviálnej zraniteľnosti poskytuje obslužný program súborov / proc / ksguard / state, ktorý je vytvorený s oprávneniami 0777, čo znamená, že každý má prístup na zápis.
Funkcia ksg_state_write použitá na analýzu príkazov napísaných v / proc / ksguard / state vytvorí buffer tmp [32], do ktorého sa dáta zapíšu na základe veľkosti odovzdaného operandu bez ohľadu na veľkosť cieľového bufferu a bez kontroly parameter s veľkosťou reťazca. Inými slovami, na prepísanie časti zásobníka jadra stačí útočníkovi napísať špeciálne vytvorený riadok v / proc / ksguard / state.
Po prijatí odpovede vývojár komentoval stránku GitHub projektu „HKSP“ spätne po odhalení zraniteľnosti tiež doplnil poznámku, že projekt napreduje vo svojom voľnom čase na výskum.
Ďakujeme bezpečnostnému tímu za nájdenie mnohých chýb v tejto aktualizácii.
Ksg_guard je ukážkový bit na detekciu rootkitov na úrovni jadra, komunikácia používateľov a jadier spúšťa rozhranie proc. Mojím zdrojom je skontrolovať túto myšlienku rýchlo, aby som nepridal dostatok bezpečnostných kontrol.Ak skutočne overujete rootkit na úrovni jadra, musíte ešte diskutovať s komunitou, ak je potrebné navrhnúť nástroj ARK (anti rootkit) pre systém Linux ...