Falha de segurança crítica no Linux: io_uring permite que rootkits contornem ferramentas de segurança
Pesquisadores da ARMO descobriram uma vulnerabilidade crítica na interface de E/S assíncrona io_uring do Linux, tornando a maioria das ferramentas de segurança em tempo de execução, incluindo Falco, Tetragon e Microsoft Defender, incapazes de detectar rootkits que a exploram. Ataques podem usar io_uring para contornar o monitoramento de chamadas de sistema, permitindo operações furtivas. O rootkit de prova de conceito da ARMO, 'Curing', demonstra a gravidade, operando inteiramente por meio de io_uring. Embora alguns fornecedores tenham respondido com correções, a exposição generalizada persiste. A pesquisa destaca a necessidade de os fornecedores de segurança adotarem mecanismos como o KRSI para recursos de detecção aprimorados.