Anthony Lineberry un esperto di Linux ha presentato “Alice in User-Land: Hijacking the Linux Kernel via /dev/mem” durante la Black Hat security conference che si tiene ad Amsterdam.
Presto pubblicherà anche la libreria libmemrk, che funziona sia in ambienti 32bit sia 64bit, che offre agli sviluppatori di rootkit la possibilità di nascondere file, processi o filtrare il traffico di rete.
La libreria scrive direttamente sulla periferica /dev/mem che rappresenta la memoria indirizzabile fisicamente ed è utilizzata da processi come Xserver o DOSEmu.
Lo scopo della libreria è semplificare il lavoro per trovare i punti sfruttabili per una attacco e di traduzione fra gli indirizzi virtuali e quelli fisici. Per ora l’attacco va comunque sritto in assembly, ma per una versione futura Lineberry pensa già all’uso di libcc per semplificare anche questo passo.
L’autore ha anche spiegato come si può modificare il driver di quella periferica per impedire questo tipo di attacco che non è completamente nuovo, perché già visto nel documento “Linux on-the-fly kernel patching without LKM” edito su un numero di Phrack del 2001.
Le versione attuali di Red Hat e Fedora sono protette da questo attacco perché utilizzano SELinux. Dalla versione 2.6.26 il kernel dispone anche dell’opzione CONFIG_STRICT_DEVMEM che consente di limitare questo tipo di attacco. Le macchine virtuali sono immuni a questo tipo di attacco a differenza di quelle fisiche.
Foto | Stig Nygaard
Via | HOnline
ossblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, chi siamo
© 2004-2011 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Ossblog.it contattare la concessionaria esclusiva Populis Engage.
TDG
18 apr 2009 - 15:07 - #1Che parola è “Tecnita” ?