OpenWall presenta el proyecto de protección del Kernel

 

 

 

 

OpenWall solicitó ayuda para crear un módulo de seguridad para observar kernels de Linux en busca de actividad sospechosa.

En la explicación de la compañía, el Kernel Runtime Guard (LKRG) de Linux se describe como un módulo que “intenta detectar y responder oportunamente a modificaciones no autorizadas en el núcleo Linux en ejecución (comprobación de integridad) o credenciales (como ID de usuario) de los procesos en ejecución (detección de exploits) “.

Desarrollado por Adam Zabrocki (@ adam_pi3) y ahora defendido por OpenWall, el primer corte del código llegó la semana pasada.

@Openwall
Anunciando nuestro proyecto más controvertido de la historia: Linux Kernel Runtime Guard es un LKM que detecta los exploits de kernel http://www.openwall.com/lkrg/

 

Es imperfecto por ahora y OpenWall lo admite: “Mientras que LKRG soluciona muchas vulnerabilidades preexistentes del Kernel de Linux, probablemente derrotará a muchos exploits futuros (incluso de vulnerabilidades aún desconocidas) que no intentan específicamente eludir el LKRG (aunque a veces a expensas de exploits más complicados y/o menos confiables) “.

La wiki de LKRG explica que funciona calculando hashes de regiones de Kernel, secciones y estructuras importantes frente a los “hashes de la base de datos interna“.

Idealmente, LKRG debería ejecutarse en un sistema de limpieza conocida (es decir, después de haber arrancado una instalación completamente nueva); crea su base de datos confiable de hashes contra ese entorno, y usa esos hash para observar los cambios.

Como este es un primer corte del LKRG (como es la versión 0.0), hay una lista de cosas por hacer sustancial. Actualmente, cubre datos críticos de CPU/core para las arquitecturas x86 y amd64; la sección Linux Kernel .text (las notas dicen “Esto cubre casi [todo] el kernel de Linux en sí, como tablas de syscall, todos los procedimientos, todas las funciones, todos los manejadores de IRQ, etc.”), la tabla de excepción del Kernel de Linux, de solo lectura de la sección de datos, las asignaciones de E/S de IOMMU y los módulos cargados.

OpenWall dijo que LKRG ha sido probado en varios escenarios, y al mismo tiempo, toma nota de los tipos de limitaciones que se aplican:

En nuestras pruebas en núcleos de distribución vulnerables, LKRG detectó con éxito ciertos exploits preexistentes de CVE-2014-9322 (BadIRET), CVE-2017-5123 (waitid (2) falta de access_ok), CVE-2017-6074 (use-after- free en el protocolo DCCP). Sin embargo, no se esperaría que se detecten exploits de CVE-2016-5195 (Dirty COW), ya que aquellos se dirigen directamente al espacio de usuario incluso si es a través del Kernel “.

Fuente

Comparte

(Artículo visitado 4 veces, 1 visitas hoy)

Responder

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  Suscribirse  
Notificarme de