Уязвимость блокировщика экрана в Astra Linux Special Edition (Смоленск)

    В данной статье мы рассмотрим очень одну интересную уязвимость в «отечественной» операционной системе Astra Linux, и так, начнем…

    image

    Astra Linux — операционная система специального назначения на базе ядра Linux, созданная для комплексной защиты информации и построения защищённых автоматизированных систем.

    Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):

    1. издание общего назначения — Common Edition — предназначено для среднего и малого бизнеса, образовательных учреждений;
    2. издание специального назначения — Special Edition — предназначено для автоматизированных систем в защищённом исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно.

    Первоначально уязвимость в блокировщике экрана была обнаружена на операционной системе Astra Linux Common Edition v2.12, она проявляется в тот момент, когда компьютер находится в заблокированном состоянии и если на данном этапе произвести смену разрешения экрана. В частности в виртуальных средах (VMWare, Oracle Virtualbox), происходит полное отображение содержимого рабочего стола без прохождения авторизации.

    Данная уязвимость также была успешно произведена на Astra Linux Special Edition v1.5. Возможно есть вариант получение информации и с физических машин, путем использования нескольких мониторов с разным разрешением.

    Ниже предоставлен ролик с демонстрацией на Astra Linux Special Edition v1.5 (была произведена блокировка станции, изменение расширения окна станции):

    image

    Скриншот из ролика (фрагмент данных на рабочем столе):

    image

    В общем итоге можно сделать вывод, что эксплуатация данной бреши позволит негласно ознакомиться с содержимым документов (в том числе ограниченного доступа), открытых на рабочем столе заблокированной станции с Astra Linux, что приведет к утечке данного рода информации.
    Поделиться публикацией

    Комментарии 26

      +1

      Круто, теперь наблюдаем за скоростью попадания этой уязвимости в БДУ ФСТЭК и ща скоростью ее закрытия Русбитехом.
      И кстати у вас во втором пункте немного ошибка, теперь на Астре разрешена обработка сведений с грифом "особой важности"

        0
        На официальном сайте даже написано, что до степени “совершенно секретно” включительно
          0
          Соответствует требованиям документов: Профиль защиты ОС(А первого класса защиты. ИТ.ОС.А1.ПЗ), Профиль защиты ОС(А второго класса защиты. ИТ.ОС.А2.ПЗ), Требования к ОС

          1,2,3 используются для АС обрабатывающие гос. тайну
          Как понимаю 1класс это ОВ далее СС и С
          А — это ОС общего назначения.
          +1
          Уже в БДУ: bdu.fstec.ru/vul/2019-02442
          И заявлено исправление: wiki.astralinux.ru/pages/viewpage.action?pageId=53644505
          В качестве источника в БДУ указана эта статья. Интересно, пытался ли автор статьи сообщить об уязвимости какими-либо другими способами.
          0
          Это не уязвимость, а доступ для «гражданина майора», но ничего, раз раскрыли, то создадут новый вариант.
            0
            Больше похоже на баг, а не фичу
              +1
              странная уязвимость…
                +1
                Раз-ре-ше-ни-е! Resolution, а не Extension. Но бага, безусловно, серьёзная. Хотя я вот однажды компьютер для СС на Windows 2000 готовил, и ничего. Даже диск не шифровался, и при этом был съёмным для возможности быстрого уничтожения. Хотя, казалось бы, ОС производства потенциального противника.
                  +1

                  Такого рода уязвимости для скринсейверов, к сожалению, не пройдут без перехода на wayland. X'ы слишком долбанутые, чтобы там хоть что-то можно было сделать точно так, как задумывалось. И modeset — это один из кошмариков.

                    +1
                    Интересно, а дополнения VirtualBox или VmWare, которые непосредственно и меняют разрешение включены в AstraLinux или установлены отдельно?
                    Если отдельно, то на таком экземпляре ОС уже нельзя гарантировать сохранность чего-либо.
                    Так можно и кучу своего ПО поставить, которое будет отсылать видео с экрана, а потом кричать на Русбитех, что они не исправляют ошибки.
                      0
                      У русбитеха есть платформы виртуализации. ПК «ВиУ» и ПАК «Брест»
                      Допиленные qemu/kvm для совместимости с СЗИ, встроенные в астру
                        0

                        Дополнения VirtualBox и VmWare не входят в поставку Смоленска. Установить их штатными средствами, так же, не представляется возможным. (Но возможно при наличии диска разработчика.)

                        +1
                        Подтверждаю на версии 1.6 ровно такое же поведение, происходит даже при переходе из «текстового» режима в графический.
                          +4
                          Ни разу не сотрудник РБТ, но почему автор отклоняет их комментарии?
                          Скриншот под спойлером
                          image

                            –5
                            Данная учетная запись никак не идентифицировалась под представителей РБТ. Тест, проводился на свежих дистрибутивах, скачанных с официальных источников буквально пол недели назад, интересно как это было пофикшено
                              +2
                              Дистры не собираются постоянно вроде как. Официально SE только по запросу, и никто не обещает там прям актуальную версию, вроде как.
                              Но у них там веселее, чтоб что то обновить на пк проверенном и сертефицированным и тд, надо в этом убедить тех же ЗГТ (я про случай SE версии), а им нужна бумажка с печатью о том что это Необходимо. Но вот получить такую бумажку — прям таки анрил.
                              Другое дело что SE версия Должна быть только в специализированных местах не в виртуалках без интернетов и тд, так что абы кто еще и не получит физически доступ.
                              А вот он CE обновления кажется оперативно прилетали через интернет, там вот пожалуй будет реально убедиться исправили и как исправили.
                                0
                                Так эта проблема есть именно в SE и никак не на виртуалках, а на «реальных» рабочих местах.
                            +2

                            Так это только для виртуалки работает? Или разрешение можно поменять, когда система стоит на реальном железе? Как-то мне с трудом представляется вариант использования защищённой ОС внутри совсем не защищённой. Зачем?

                              –1
                              Возможно есть вариант получение информации и с физических машин, путем использования нескольких мониторов с разным разрешением.
                                +1

                                Вот это было бы интереснее. А ещё круче видео с демонстрацией уязвимости с помощью мониторного свича и двух мониторов. В целом, такие проблемы относятся к нюансам иксов или композитора, потому что блокировщик — это просто полноэкранное окно поверх всех, захватывающее на себя ввод. Более надёжно было бы сворачивать (или скрывать) все окна при блокировке и разворачивать их обратно, но наверно некоторые программы могут некорректно на это отреагировать. Хотя оконные менеджеры как-то справляются, создавая виртуальные рабочие столы и теги.

                              +1
                              У меня подобное на Gentoo и Plasma без всякого отчественного софта. И также проявляется при отрытии крышки ноутбука.
                                +2
                                Коллеги, такое и у windows 10, недавно мне в usb воткнули переборку пароля купленную на ali, так вот она настолько быстро перебирает что экран ввода мерцает и среди мерцаний чуть ли не на постояннку видно рабочий стол
                                  +1
                                  На Windows 10 Mobile такое же почти было: после смахивания экрана блокировки, до появления экрана ввода пин-кода, на долю секунды было видно экран с приложениями.
                                    0
                                    Ранее на различных сайтах была опубликована информация о уязвимости в Astra Linux, связанной с возможностью получения доступа к конфиденциальным данным в результате манипуляций с разрешением экрана виртуальной машины с операционной системой Astra Linux.

                                    Сведения об указанной уязвимости включены в БДУ ФСТЭК России, базовая оценка опасности по CVSS 3.0 составляет 4 балла.

                                    bdu.fstec.ru/vul/2019-02442

                                    Для устранения указанной уязвимости опубликованы методические рекомендации с обновлением для устранения данной проблемы.

                                    для версии 1.6

                                    wiki.astralinux.ru/pages/viewpage.action?pageId=53644505

                                    для версии 1.5

                                    wiki.astralinux.ru/pages/viewpage.action?pageId=1212483#id-%D0%9E%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%D0%B8%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5%D1%83%D0%BA%D0%B0%D0%B7%D0%B0%D0%BD%D0%B8%D1%8FAstraLinuxSpecialEdition1.5-%D0%91%D0%AE%D0%9B%D0%9B%D0%95%D0%A2%D0%95%D0%9D%D0%AC%E2%84%9620190712SE15MD
                                      0
                                      Я, возможно, наивный вопрос задаю, но как можно изменить разрешение на заблокированном ПК? Т.е. не на виртуальной машине.
                                        0
                                        Проблема есть, но воспроизвести ее с ходу на версии 1.6 SE и последними обновлениями, — не удалось. Проблема связана с неким «кешем», который используется при создании интерфейса нового окна. Сначала происходит восстановления изображения последнего экрана, а потом уже поверх отрисовывается новый интерфейс. На скриншоте изображен процесс открытия (отрисовки) «Панели управления». Перед открытием «Панели управления» была завершена работа с LibreOffice Writer.

                                        image

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое