Confira !!
Neste fim de semana, relatamos como a injeção de tabelas ACPI poderia levar a ignorar as proteções de bloqueio / UEFI Secure Boot do Linux e permitir que os atacantes carregassem módulos de kernel não assinados. Esse problema anterior foi encontrado em uma versão corrigida do kernel do Ubuntu 18.04 LTS, enquanto agora um vetor de ataque semelhante foi descoberto no kernel Linux principal.
O desenvolvedor líder do WireGuard Jason Donenfeld descobriu essas duas vulnerabilidades nos últimos dias. Essa descoberta mais recente é mais premente, pois funciona em um kernel principal do Linux atual, em vez de apenas na base de código do kernel mais antigo e fortemente corrigida pelo Ubuntu. Felizmente, Donenfeld já enviou um patch para a lista de endereçamento para solucionar esse problema.
Essa descoberta mais recente está carregando novas tabelas ACPI para desativar o bloqueio. Também é mais ativo do que a descoberta anterior, pois nenhuma reinicialização do kernel é necessária para essa exploração. O problema decorre do módulo ConfigFS para ACPI, permitindo que tabelas arbitrárias de ACPI sejam adicionadas em tempo de execução. A randomização do layout do espaço de endereço do kernel ainda é contornada, calculando o endereço base físico e os endereços de símbolo de / proc / kcore e / proc / ksallsysm, respectivamente. O acesso raiz é necessário para esse desvio de bloqueio do kernel.
Em um kernel assinado com o UEFI Secure Boot ativado, é tão simples quanto executar o new proof-of-concept-script para poder carregar módulos de kernel arbitrários e não assinados no sistema.
O patch do kernel para resolver esse problema, existem apenas 5 linhas de novo código e simplesmente verifica o status da funcionalidade LOCKDOWN do kernel antes de permitir a gravação da tabela ACPI. O patch está marcado para retroceder para a série estável do kernel e, presumivelmente, será captado rapidamente, pois é bastante direto.
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário