محققان از ماژول RKP برای نفوذ به Samsung KNOX استفاده کردند

۱محققان امنیتی شرکت Viral Security Group توانسته‌اند با سوءاستفاده از آسیب‌پذیری‌هایی که در دستگاه‌های وصله‌نشده‌ی در معرض خطر قرار دارند،‌ قابلیت‌های امنیتی سامسونگ ناکس۱ را دور بزنند.
این محققان برای عبور موفقیت‌آمیز از تدابیر امنیتی سامسونگ، روی ماژولی به نام TIMA RKP۲ تمرکز کرده‌اند، که این ماژول مسئول دفاع برابر سوءاستفاده‌های احتمالی از هسته است. یک نفوذ به روت یا ریشه‌ می‌تواند نظم هسته را به هم بریزد و کد مورد نظر نفوذگر را در سامانه‌ی کاربر به اجرا درآورد.
بنا به اظهارات مندرج در مقاله‌ی مربوط به این تحقیق، یک عامل مخرب با دسترسی به حساب کاربری سامانه می‌تواند برنامه‌های کاربردی مجاز را با نرم‌افزارهای مخربی جای‌گزین کند که به تمامی مجوزها دسترسی دارند و همه‌ی این مجوزها بدون اطلاع کاربر اعطا شده است. علاوه بر این، ماژول RKP می‌تواند برای دسترسی به امتیازهای ریشه مورد سوءاستفاده قرار گیرد، و پژوهش‌گران امنیتی حتی موفق شده‌اند یک ماژول کرنل یا هسته را در پارتیشن system/ به عنوان یک ماژول قابل نوشتن بارگذاری نماید.
پژوهش‌گران به منظور واژگون‌سازی ماژول RKP، از آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۵-۱۸۰۵ به کمک بسته‌ی نفوذی متن‌باز iovyroot سوءاستفاده کرده‌اند.
iovyroot که یک بسته‌ی نفوذ مبتنی بر لینوکس است برای سوءاستفاده از شکاف مورد بحث در دستگاه‌های نوظهور سامسونگ مانند گلکسی S۶ و گلکسی نوت ۵ تدارک دیده شده است.
محققان می‌گویند که ماژول RKP دارای دو لایه است، یک لایه با هسته‌ی لینوکس در ارتباط است، و لایه‌ی دیگر به عنوان یک ناظر در ARM TrustZone جای گرفته است.
وظیفه‌ی RKP پوشش و حفاظت از نواحی خاصی از حافظه‌ی هسته است، تا بتواند بررسی‌ها و اعتبارسنجی‌های آن ناحیه‌ها را پنهانی و مستقل از هسته انجام دهد.
مشکل مطرح در مورد RKP تابع خاص rkp_override_creds است، که تابع override_creds متعلق به هسته را جای‌گزین می‌کند، می‌توان از این تابع برای لغو موقت اعتبار فرآیند کنونی استفاده کرد.
پژوهش‌گران با سوءاستفاده از این مشکل تلاش کرده‌اند تا با لغو اطلاعات محرمانه‌ با اعتبارات روت توسط RKP به آن دست پیدا نمایند، اما ناموفق بوده‌اند؛ زیرا سمت ناظر برای لغو اطلاعات محرمانه‌ی فرآیند با اطلاعات روت تلاشی نمی‌کند. اما اعتبارات سامانه را می‌پذیرد.
محققان که هنوز مشغول تلاش برای رسیدن به ریشه هستند، پرونده‌ای به نام vmm.elf را پیدا کرده‌اند، که به نظر می‌رسد یک ماژول RKP باشد. آن‌ها توانسته‌اند در این ماژول تابعی را بیابند که به آن‌ها اجازه می‌دهد به ریشه دسترسی داشته باشند.
اما محققان دریافته‌اند که مجوزهای موجود محدود است، و اجرای ماژول کرنل یا هسته منجر به تشدید امتیاز می‌شود، خصوصاً از وقتی که سامسونگ S۶ امکان اضافه‌کردن ماژول‌های هسته را فراهم آورده است.
با این حال، این ماژول‌ها می‌بایست امضا شوند، و فرآیند تأیید آن‌ها بایست توسط میکرو کرنل Mobicore در TrustZone صورت گیرد.
با این وجود، از آن‌جایی‌که تأیید تنها زمانی انجام می‌شود که متغیر lkmauth_bootmode برای BOOTMODE_RECOVERY تنظیم شود، پژوهش‌گران امنیتی از یک هسته برای درج آسیب‌پذیری برای بازنویسی مقدار متغیر و از کار انداختن سامانه‌ی تأیید امضا کمک گرفته‌اند.
در این مرحله محققان توانسته‌اند که به آسانی هر ماژول کرنلی را در نظر داشتند بارگذاری کنند. ۳ آسیب‌پذیری که امکان نفوذ موفق به سامسونگ ناکس را فراهم می‌کند، KNOXout نامیده می‌شوند. این آسیب‌پذیری‌ها که شناسه‌ی CVE-۲۰۱۶-۶۵۸۴ بدان‌ها تعلق گرفته، از نوع تشدید امتیاز هستند و در حال حاضر به فروشندگان محصولات درگیر با آن‌ها هشدارهای لازم داده شده است.
برخی از راه‌ حل‌های پیشنهادی توسط محققان امنیتی شامل اصلاح مجوزهای سامانه‌ای مشابه ریشه است؛ در ادامه بررسی PID برای فرآیند اعطای مجوز انجام می‌شود، زیرا RKP به فرآیندهایی با PID برابر صفر امتیازهای ریشه را اعطا می‌کند (که محققان از همین نکته استفاده کرده‌اند)؛ و قرار دادن متغیر lkmauth_bootmode و ساختار security_ops در یک صفحه‌ی فقط خواندنی تحت حفاظت RKP آخرین کاری است که محققان پیشنهاد داده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.