Faille de sécurité majeure sous Linux : io_uring permet aux rootkits de contourner les outils de sécurité
Des chercheurs d'ARMO ont découvert une vulnérabilité critique dans l'interface d'E/S asynchrone io_uring de Linux, rendant la plupart des outils de sécurité en temps réel, notamment Falco, Tetragon et Microsoft Defender, incapables de détecter les rootkits l'exploitant. Les attaquants peuvent utiliser io_uring pour contourner la surveillance des appels système, permettant des opérations furtives. Le rootkit de preuve de concept d'ARMO, « Curing », démontre la gravité du problème en fonctionnant entièrement via io_uring. Bien que certains fournisseurs aient réagi en apportant des correctifs, une exposition généralisée persiste. La recherche souligne la nécessité pour les fournisseurs de sécurité d'adopter des mécanismes tels que KRSI pour améliorer les capacités de détection.