Utvecklarna av Grsecurity-projektet släppt information om säkerhetsproblem som hittades i en föreslagen patch för att förbättra säkerheten för Linux-kärnan av en Huawei-anställd, närvaron av en trivialt utnyttjad sårbarhet i patchuppsättningen HKSP (Huawei Kernel Self Protection).
Dessa "HKSP" patchar publicerades av en Huawei-anställd för 5 dagar sedan och inkluderar omnämnande av Huawei i GitHub-profilen och använder ordet Huawei i avkodningen av projektnamnet (HKSP – Huawei Kernel Self Protection), även om den anställde nämner att projektet inte har något med företaget att göra och är självförfattat.
Detta projekt har gjort min forskning på fritiden, namnet på hksp gavs av mig själv, det är inte relaterat till Huawei-företaget, det finns ingen Huawei-produkt som använder den här koden.
Den här patchkoden skapades av mig, eftersom en person inte har tillräckligt med kraft för att täcka allt. Därför saknas kvalitetssäkring som granskning och testning.
Om HKSP
HKSP inkluderar förändringar såsom randomisering av strukturavvägningar, skydd mot namnutrymmesattacker användar-ID (pid-namnområde), processstackseparering från mmap-området, detektering av dubbla kfree-funktionsanrop, blockering av läckor via pseudo-FS/proc (/proc/{modules, keys, users key}, /proc/sys/kernel/* och /proc/sys /vm/mmap_min_addr , /proc/kallsyms), förbättrad randomisering av användarutrymmesadress, ytterligare Ptrace-skydd, förbättrat smap- och smep-skydd, möjligheten att förbjuda sändning av data över råa sockets, blockering av adresser Ogiltiga UDP-sockets och kontroller och integritet för pågående processer.
Ramverket inkluderar också Ksguard-kärnmodulen, avsedd att identifiera försök att introducera typiska rootkits.
Plåstren väckte intresset för Greg Kroah-Hartman, ansvarig för att upprätthålla en stabil gren av Linux-kärnan, som bad författaren att dela upp den monolitiska lappen i delar för att förenkla recensionen och befordran till den centrala sammansättningen.
Kees Cook (Kees Cook), chef för projektet för att främja aktiv skyddsteknik i Linux-kärnan, talade också positivt om korrigeringarna och problemen uppmärksammade x86-arkitekturen och aviseringskaraktären för många inloggningslägesinformation om problemet, men försöker inte blockera den.
En studie av patchen utförd av utvecklarna av Grsecurity avslöjade många buggar och svagheter i koden och det visade också på frånvaron av en hotmodell som möjliggör en adekvat utvärdering av projektets kapacitet.
För att illustrera att koden skrevs utan att använda säkra programmeringsmetoder, Ett exempel på en trivial sårbarhet finns i filhanteraren /proc/ksguard/state, som skapas med 0777-behörigheter, vilket betyder att alla har skrivåtkomst.
Funktionen ksg_state_write som används för att analysera kommandon skrivna till /proc/ksguard/state skapar en tmp-buffert [32], i vilken data skrivs baserat på storleken på den överförda operanden, oavsett storleken på destinationsbufferten och utan att kontrollera parametern med storleken på strängen. Det vill säga, för att skriva över en del av kärnstacken behöver angriparen bara skriva en specialgjord rad till /proc/ksguard/state.
Efter att ha fått ett svar, utvecklaren kommenterade GitHub-sidan för "HKSP"-projektet retroaktivt efter sårbarhetsupptäckten lade också till en notering om att projektet fortskrider på sin fritid för forskning.
Tack till säkerhetsteamet för att du hittade många buggar i denna patch.
ksg_guard är en prov-poc för att upptäcka rootkits på kärnnivå, användar- och kärnkommunikation är att starta proc-gränssnittet, mitt källsyfte är att kontrollera idén snabbt, så jag lägger inte till tillräckligt med säkerhetskontroller.Att faktiskt kontrollera rootkit på kärnnivå måste fortfarande diskutera med communityn, om det är nödvändigt att designa ett ARK-verktyg (anti rootkit) för Linux-systemet...