Две уязвимости в GRUB2, които ви позволяват да заобиколите защитата на UEFI Secure Boot

Беше разкрита информация за две уязвимости в буутлоудъра GRUB2, които могат да доведат до изпълнение на код при използване на специално проектирани шрифтове и обработка на определени Unicode последователности. Уязвимостите могат да се използват за заобикаляне на проверения механизъм за зареждане на UEFI Secure Boot.

Идентифицирани уязвимости:

• CVE-2022-2601 - Препълване на буфера във функцията grub_font_construct_glyph() при обработка на специално проектирани шрифтове във формат pf2, което възниква поради неправилно изчисляване на параметъра max_glyph_size и разпределението на област от паметта, която очевидно е по-малка от необходимата за поберете глифовете.
• CVE-2022-3775 Запис извън границите възниква при рендиране на някои Unicode последователности в специално стилизиран шрифт. Проблемът е в кода за обработка на шрифта и е причинен от липсата на подходящи проверки, за да се гарантира, че ширината и височината на глифа съответстват на размера на наличното растерно изображение. Нападателят може да изработи входа по такъв начин, че да накара опашката на данните да бъде записана извън разпределения буфер. Отбелязва се, че въпреки сложността на използването на уязвимостта, не е изключено пренасянето на проблема до изпълнение на код.

Корекцията е публикувана като корекция. Състоянието на премахване на уязвимостите в дистрибуциите може да бъде оценено на тези страници: Ubuntu, SUSE, RHEL, Fedora, Debian. За да коригирате проблеми в GRUB2, не е достатъчно само да актуализирате пакета; ще трябва също така да генерирате нови вътрешни цифрови подписи и да актуализирате инсталатори, зареждащи програми, пакети на ядрото, fwupd фърмуер и shim слой.

Повечето дистрибуции на Linux използват малък shim слой, цифрово подписан от Microsoft за проверено зареждане в режим UEFI Secure Boot. Този слой проверява GRUB2 със собствен сертификат, който позволява на разработчиците на разпространение да не имат всяко ядро ​​и актуализация на GRUB, сертифицирани от Microsoft. Уязвимостите в GRUB2 ви позволяват да постигнете изпълнението на вашия код на етапа след успешна проверка на shim, но преди зареждането на операционната система, вклиняване във веригата на доверие, когато режимът Secure Boot е активен и получаване на пълен контрол върху по-нататъшния процес на зареждане, включително зареждане на друга операционна система, модифициране на компонентите на операционната система система и заобикаляне на защитата при блокиране.

За да блокират уязвимостта, без да отменят цифровия подпис, дистрибуциите могат да използват механизма SBAT (UEFI Secure Boot Advanced Targeting), който се поддържа за GRUB2, shim и fwupd в повечето популярни Linux дистрибуции. SBAT е разработен съвместно с Microsoft и включва добавяне на допълнителни метаданни към изпълнимите файлове на компонентите на UEFI, което включва информация за производителя, продукта, компонента и версията. Посочените метаданни са сертифицирани с цифров подпис и могат да бъдат включени отделно в списъците с разрешени или забранени компоненти за UEFI Secure Boot.

SBAT ви позволява да блокирате използването на цифрови подписи за номера на версията на отделни компоненти, без да се налага да отменяте ключове за Secure Boot. Блокирането на уязвимости чрез SBAT не изисква използването на списък за анулиране на UEFI сертификати (dbx), но се извършва на ниво замяна на вътрешния ключ за генериране на подписи и актуализиране на GRUB2, shim и други артефакти за зареждане, предоставени от дистрибуции. Преди въвеждането на SBAT, актуализирането на списъка с анулирани сертификати (dbx, UEFI Revocation List) беше предпоставка за пълно блокиране на уязвимостта, тъй като атакуващият, независимо от използваната операционна система, можеше да използва стартиращ носител със стара уязвима версия на GRUB2, сертифицирани с цифров подпис, за компрометиране на UEFI Secure Boot.

Източник: opennet.ru