Проект Openwall, известный своими инициативами по обеспечению безопасности, представил (http://www.openwall.com/lists/announce/2018/01/29/1) первый экспериментальный выпуск механизма LKRG (http://www.openwall.com/lkrg/) (Linux Kernel Runtime Guard), предназначенного для контроля целостности ядра Linux и обнаружения попыток эксплуатации уязвимостей в ядре. Проект находится на стадии тестирования экспериментального прототипа. Лицензия на код модуля (https://bitbucket.org/Adam_pi3/lkrg-main) пока не выбрана, рассматривается (http://openwall.info/wiki/p_lkrg/Main) GPLv2 или GPLv3. Для финансирования разработки в будущем не исключается выпуск расширенной платной версии LKRG Pro.
LKRG оформлен в виде загружаемого модуля ядра, который пытается выявлять несанкционированное внесение изменений в работающее ядро (проверка целостности) или изменение полномочий пользовательских процессов (определение применения эксплоитов). Определение возможного применения эксплоитов и блокирование атак производится на стадии до предоставления ядром доступа к ресурсам (например, к открытию файла) после получения процессом несанкционированных полномочий.
В будущем ожидается поддержка отслеживания выхода за пределы изолированных контейнеров. Также пока отсутствуют полноценные средства для блокирования атак - сведения о нарушениях целостности выводятся в виде информационных уведомлений, записываемых в лог ядра. При выявлении несанкционированного поведения процессов выполняется их принудительное завершение, чего достаточно для блокирования многих эксплоитов. Так как проект находится на стадии разработки и оптимизации пока не проводились, накладные расходы от работы модуля составляют примерно в 6.5%, но в будущем планируется существенно снизить данный показатель.
Модуль подходит как для организации защиты от уже известных эксплоитов для ядра Linux, так и для противостояния эксплоитам для ещё неизвестных уязвимостей, если в них не применяется специальных мер для обхода LKRG. При тестировании LKRG успешно справился с определением попыток эксплуатации уязвимостей CVE-2014-9322 (BadIRET), CVE-2017-5123
(waitid) и CVE-2017-6074 (use-after-free в DCCP), но не подходит для определения таких проблем, как CVE-2016-5195 (Dirty COW (https://www.opennet.ru/opennews/art.shtml?num=45354)), поражающих компоненты пространства пользователя через ядро.
На текущей стадии разработки авторы не исключают наличия ошибок в коде LKRG и возможных ложных срабатываний, поэтому пользователям предлагается сопоставить риски от возможных ошибок в LKRG c пользой от предлагаемого метода защиты. Из положительных свойств LKRG отмечается то, что механизм защиты выполнен в виде загружаемого модуля, а на патча к ядру, что позволяет использовать его со штатными ядрами дистрибутивов. В частности, модуль опробован с ядром RHEL7, OpenVZ/Virtuozzo 7 и Ubuntu 16.04. В дальнейшем не исключается формирования бинарных сборок для популярных дистрибутивов.
URL: http://www.openwall.com/lists/announce/2018/01/29/1
Новость: http://www.opennet.ru/opennews/art.shtml?num=47989
