Profesor de slashdot Espiriedad compartido Este noticia del registro:

Se ha publicado un software de prueba de concepto para demostrar un llamado “punto ciego” de monitoreo en cómo algunos antivirus de Linux y otras herramientas de protección de punto final utilizan la interfaz IO_uring del kernel.

Eso interfaz Permite que las aplicaciones realicen solicitudes de IO sin usar llamadas de sistema tradicionales (para mejorar el rendimiento al habilitar las operaciones de E/S asíncronas entre el espacio del legatario y el kernel de Linux a través de buffers de anillos compartidos). Ese es un problema para las herramientas de seguridad que dependen del monitoreo de SYSCall para detectar amenazas … (que) pueden perder los cambios que en su oficio están pasando por las colas de Io_uring.

Para demostrar esto, la tienda de seguridad Armo construyó una prueba de concepto citación Curing que vive completamente a través de IO_uring. Correcto a que evita las llamadas del sistema, el software aparentemente no fue detectado por herramientas como Falco, Tetragon y Microsoft Defender en sus configuraciones predeterminadas. Armo afirmó que este es un “punto ciego principal” en la pila de seguridad de Linux … “No muchas compañías lo están utilizando, pero no es necesario usarlo para que un atacante lo use como facultado de forma predeterminada en la mayoría de los sistemas de Linux, potencialmente decenas de miles de servidores”, dijo el CEO de Armo, Shauli Rozen. “Si no estás usando io_uring, desactívelo, pero eso no siempre es dócil con los proveedores de la estrato”.