Confira !!
Os desenvolvedores da IBM estão trabalhando em um novo conceito para o kernel do Linux de "isolamento de chamadas do sistema" para isolar partes do kernel quando impactado por vulnerabilidades.
O conceito foi anunciado durante a noite e há alguns patches preliminares trabalhados pelos desenvolvedores da IBM. O desenvolvedor Mike Rapoport resumiu o trabalho com elegância:
A ideia aqui é permitir que um usuário não confiável acesse um kernel potencialmente vulnerável de tal forma que qualquer vulnerabilidade do kernel que ele encontre para explorar seja impedida ou as consequências limitadas a seu espaço de endereço isolado, de forma que a tentativa de comprometimento cause impacto mínimo em outros usuários. ou as estruturas protegidas do núcleo monolítico. Embora esperemos evitar muitas classes de ataque, o primeiro alvo que estamos observando é a proteção do gadget ROP.
Esses patches implementam um mecanismo de "isolamento de chamada do sistema (SCI)" que permite executar chamadas do sistema em um espaço de endereço isolado com tabelas de página reduzidas para evitar ataques de ROP.
Ataques ROP envolvem corromper o endereço de retorno da pilha para reposicioná-lo para um segmento de código que você sabe que existe no kernel que pode ser usado para executar a ação necessária para explorar o sistema.
A ideia por trás da prevenção é que, se falharmos nas páginas no caminho de execução, podemos comparar o endereço de destino com a tabela de símbolos do kernel. Então, se estamos em uma função, permitimos saltos locais (e simplesmente caindo do final de uma página), mas se estamos pulando para uma nova função, deve ser para um rótulo externo na tabela de símbolos. Como os ataques de ROP têm tudo a ver com o salto para o código do gadget, que está efetivamente no meio de funções reais, os saltos que eles induzem são códigos que não possuem um símbolo externo, portanto, ele deve detectar principalmente quando eles acontecem.
Isso é muito cedo POC, é capaz de executar as chamadas do sistema simples dummy e um pouco além disso, mas ainda não é estável e robusto o suficiente para inicializar um sistema com o isolamento de chamadas do sistema habilitado para todas as chamadas do sistema. Ainda assim, queríamos obter algum feedback sobre o conceito em geral o mais cedo possível.
Embora o Isolamento de Chamadas do Sistema Linux (SCI) ajude na segurança, além do código ainda não estar maduro e bem arredondado, eles ainda não observaram de perto o impacto no desempenho. No entanto, eles reconhecem que provavelmente haveria um impacto mensurável no desempenho do sistema.
Aqueles que querem aprender mais sobre este recurso de isolamento de chamada de sistema de prova de conceito podem ver esta série de correções do kernel .
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário