'n Kwesbaarheid (CVE-2-2023) is geïdentifiseer in die bestuurder wat werk verskaf met die NTFS-lêerstelsel in die GRUB4692 selflaaiprogram, wat toelaat dat sy kode op die selflaailaaiervlak uitgevoer word wanneer toegang tot 'n spesiaal ontwerpte lêerstelselbeeld verkry word. Die kwesbaarheid kan gebruik word om die UEFI Secure Boot-geverifieerde selflaaimeganisme te omseil.
Die kwesbaarheid is te wyte aan 'n fout in die ontledingskode vir die $ATTRIBUTE_LIST NTFS-kenmerk (grub-core/fs/ntfs.c), wat gebruik kan word om gebruikerbeheerde inligting na 'n geheuearea buite die toegewese buffer te skryf. Wanneer 'n spesiaal ontwerpte NTFS-beeld verwerk word, lei die oorloop tot die oorskryf van 'n deel van die GRUB-geheue, en ook, onder sekere omstandighede, tot skade aan die UEFI-firmware-geheue-area, wat jou moontlik toelaat om die uitvoering van jou kode by die selflaaiprogram te organiseer of firmware vlak.
Daarbenewens is 'n ander kwesbaarheid (CVE-2-2023) ook in die NTFS-bestuurder van GRUB4693 geïdentifiseer, wat die inhoud van 'n arbitrêre geheuearea toelaat om te lees wanneer die "$DATA"-kenmerk in 'n spesiaal ontwerpte NTFS-beeld ontleed word. Die kwesbaarheid laat jou onder meer toe om sensitiewe data wat in die geheue gekas is, op te haal of die waardes van EFI-veranderlikes te bepaal.
Die probleme is tot dusver slegs deur middel van opgraderings aangespreek. Die status van kwesbaarheidsoplossings in verspreidings kan op hierdie bladsye beoordeel word: Debian, Ubuntu, SUSE, RHEL, Fedora. Die oplos van GRUB2-probleme vereis meer as net die opdatering van die pakket; dit vereis ook die generering van nuwe interne digitale handtekeninge en die opdatering van installeerders, selflaaiprogramme, kernpakkette, fwupd-firmware en die shim-laag.
Die meeste LinuxVerspreidings vir geverifieerde opstart in UEFI Secure Boot-modus gebruik 'n klein shim-laag, digitaal onderteken deur Microsoft. Hierdie laag verifieer GRUB2 met sy eie sertifikaat, wat die noodsaaklikheid vir verspreidingsontwikkelaars om Microsoft van elke kern- en GRUB-opdatering in kennis te stel, uitskakel. Kwetsbaarhede in GRUB2 laat arbitrêre kode-uitvoering toe na suksesvolle shim-verifikasie, maar voordat die bedryfstelsel opstart. Dit laat aanvallers toe om in die vertrouensketting in te breek wanneer Secure Boot geaktiveer is en volledige beheer oor die daaropvolgende opstartproses te verkry, byvoorbeeld om 'n ander bedryfstelsel op te laai, bedryfstelselkomponente te wysig of Lockdown-beskerming te omseil.
Om die kwesbaarheid te blokkeer sonder om die digitale handtekening te herroep, kan verspreidings die SBAT (UEFI Secure Boot Advanced Targeting) meganisme gebruik, waarvan ondersteuning geïmplementeer word vir GRUB2, shim en fwupd in die meeste gewilde verspreidings. LinuxSBAT is in samewerking met Microsoft ontwikkel en behels die byvoeging van bykomende metadata tot UEFI-komponent uitvoerbare lêers, insluitend inligting oor die vervaardiger, produk, komponent en weergawe. Hierdie metadata is digitaal onderteken en kan afsonderlik ingesluit word in die lyste van toegelate of geweierde komponente vir UEFI Secure Boot.
SBAT laat jou toe om die gebruik van digitale handtekeninge vir individuele komponentweergawenommers te blokkeer sonder om sleutels vir Secure Boot te herroep. Blokkering van kwesbaarhede via SBAT vereis nie die gebruik van 'n UEFI-sertifikaatherroepingslys (dbx) nie, maar word uitgevoer op die vlak van die vervanging van die interne sleutel om handtekeninge te genereer en GRUB2, shim en ander selflaai-artefakte wat deur verspreidings verskaf word, op te dateer. Voor die bekendstelling van SBAT was die opdatering van die lys van herroepingsertifikate (dbx, UEFI-herroepingslys) 'n voorvereiste om die kwesbaarheid heeltemal te blokkeer, aangesien 'n aanvaller, ongeag die bedryfstelsel wat gebruik word, die selflaai-selflaai kan gebruik om UEFI Secure Boot te kompromitteer
Bron: opennet.ru
