Для Linux представлен публике Killswitch

Разработчик Саша Левин (Sasha Levin), который занимается сопровождением LTS‑веток (с долгосрочной поддержкой) ядра Linux и входит в консультативный совет организации Linux Foundation, показал набор патчей с реализацией механизма killswitch для ядра Linux. Примечательно, что этот исходник написан с помощью Claude Opus 4.7 и проверен\протестирован человеком.

По информации OpenNET, предложенная Левиным функция позволяет мгновенно выключить доступ к определённой функциональности работающего ядра Linux. Предполагается, что killswitch будет полезен для временного блокирования уязвимостей на время до установки обновления ядра Linux с исправлением.

Управление killswitch осуществляется через файл "/sys/kernel/security/killswitch/control", позволяющий настроить перехват обращений к функциям ядра по их именам. В частности, для блокирования уязвимости Copy Fail достаточно записать в управляющий файл команду "engage af_alg_sendmsg -1" для включения перехвата вызова функции af_alg_sendmsg и вместо её выполнения возвращения кода ошибки "-1".

В качестве имён в killswitch могут использоваться любые символы, поддерживаемые подсистемой kprobes. Многие из недавно найденных в ядре Linux серьёзных уязвимостей присутствуют в подсистемах, используемых относительной небольшим числом пользователей (в частности, AF_ALG, ksmbd, nf_tables, vsock, ax25). Для большинства пользователей неудобство из‑за прекращения работоспособности отдельных функций не сравнится с риском использования в работе ядра с известной неисправленной уязвимостью на время до установки исправления. Алгоритм killswitch будет актуален в контексте уязвимостей, эксплоиты для которых публикуются раньше, чем проблема устраняется в ядре с помощью патчей.

Ранее, после обнародования информации о LPE-уязвимости (10 строк кода на Python) Copy Fail в Linux — root на Linux в один клик, исследователи по ИБ нашли ещё две серьёзные LPE-уязвимости в Linux: Copy Fail 2: Electric Boogaloo и Dirty Frag: Universal Linux LPE. С помощью этих уязвимостей непривилегированный локальный пользователь равным образом может получить доступ к системе уровня root.