Algunas preguntas acerca de los ataques al kernel

-1

Ayer leí algo sobre el kernel y posibles ataques contra él. Y tengo algunas preguntas sobre este enfoque de ataque:

1. El núcleo es un núcleo para todo el sistema operativo. Entonces, si tomo el control del kernel, ¿puedo hacer todo en la computadora de la víctima?

2. ¿Puedo escribir, por ejemplo, el módulo del kernel malicioso de C ++ que puede abrir puertas traseras o forzar al kernel a hacer cosas maliciosas? En caso afirmativo, ¿puedo hacerlo en todas las plataformas (Windows, Linux, Mac OS, Android, iOS, etc.)?

3. ¿Es posible inyectar este módulo de kernel malicioso o código malicioso en el kernel (forzándolo a hacer eso o algo así)?

4. ¿Y qué son los ataques de parche del kernel? No entiendo totalmente este término.

    
pregunta Bartosz Królak 09.02.2017 - 19:59
fuente

1 respuesta

2
  
  1. Kernel es un núcleo para todo el sistema operativo. Entonces, si tomo el control del kernel, ¿puedo hacer todo en la computadora de la víctima?
  2.   

Algunas cosas están protegidas por hardware incluso desde el kernel. Por ejemplo, en la mayoría de los sistemas modernos, no podrá flashear el BIOS chip desde el núcleo.

  
  1. ¿Puedo escribir, por ejemplo, un módulo del kernel malicioso de C ++ que pueda abrir puertas traseras o forzar al kernel a hacer cosas maliciosas? En caso afirmativo, ¿puedo hacerlo en todas las plataformas (Windows, Linux, Mac OS, Android, iOS, etc.)?
  2.   

Bueno, tienes que encontrar una vulnerabilidad en cada plataforma que te permita acceder al modo kernel. Pero sí, una vez que estás en modo kernel, puedes hacer todo tipo de desagradables al sistema. Por lo general, el código del kernel está programado en C en lugar de C ++ , pero con un poco de brillo puede obtener el código de C ++ para funcionar.

  
  1. ¿Es posible inyectar este módulo de kernel malicioso o código malicioso en el kernel (forzándolo a hacer eso o algo así)?
  2.   

Bueno, esa es la parte difícil. Si ingresa al sistema a través del navegador, por ejemplo, tiene que encontrar un exploit del navegador para obtener usuarios locales, encontrar un exploit que genere root local, y luego encontrar una manera de ingresar al kernel. A veces, root to kernel es trivial, por ejemplo, Linux con la carga del módulo habilitada. Pero Linux también se puede configurar sin el soporte del módulo, por lo que realmente requiere encontrar un exploit.

  
  1. ¿Y qué son los ataques de parche del kernel? No entiendo totalmente este término.
  2.   

Nunca he oído hablar de esto. Podría estar refiriéndose a kpatch , un mecanismo para parchear el kernel en tiempo de ejecución. Obviamente, si puede obtener un exploit en una actualización kpatch able, puede ser una forma de ingresar en un kernel Linux (por ejemplo, uno que tenga el módulo cargado deshabilitado).

    
respondido por el DepressedDaniel 09.02.2017 - 20:06
fuente

Lea otras preguntas en las etiquetas