Исследователи в области безопасности создали программу-прототип, обходящую антивирусные системы, отслеживающие системные вызовы в Linux.

Программа-доказательство концепции была опубликована, демонстрируя так называемую "слепую зону" в работе некоторых антивирусных решений для Linux и других средств защиты конечных точек, использующих интерфейс io_uring ядра.

Этот интерфейс позволяет приложениям выполнять запросы ввода-вывода, не используя традиционные системные вызовы [для повышения производительности за счет обеспечения асинхронных операций ввода-вывода между пользовательским пространством и ядром Linux через общие кольцевые буферы]. Это представляет проблему для средств безопасности, которые полагаются на мониторинг системных вызовов для обнаружения угроз… [которые] могут не заметить изменения, происходящие через очереди io_uring.

Для демонстрации этого, компания ARMO разработала программу-доказательство концепции под названием Curing, которая полностью функционирует через io_uring. Поскольку она избегает системных вызовов, программа, по-видимому, осталась незамеченной такими инструментами, как Falco, Tetragon и Microsoft Defender в их конфигурациях по умолчанию. ARMO утверждает, что это "серьезная слепая зона" в стеке безопасности Linux. "Не так много компаний используют io_uring, но для злоумышленника не обязательно его использовать, поскольку он включен по умолчанию в большинстве Linux-систем, потенциально на десятках тысяч серверох", – заявил генеральный директор ARMO Шаули Розен (Shauli Rozen) изданию The Register. "Если вы не используете io_uring, отключите его, но это не всегда просто с облачными провайдерами."