Критична уязвимост в буутлоудъра GRUB2, която ви позволява да заобиколите UEFI Secure Boot

В GRUB2 буутлоудъра идентифицирани 8 уязвимости. Най-опасен проблем (CVE-2020 10713-), който е с кодово име BootHole, дайте шанс заобиколете механизма за защитено стартиране на UEFI и инсталирайте непроверен зловреден софтуер. Особеността на тази уязвимост е, че за да я премахнете, не е достатъчно да актуализирате GRUB2, тъй като атакуващият може да използва стартиращ носител със стара уязвима версия, сертифицирана с цифров подпис. Нападателят може да компрометира процеса на проверка не само на Linux, но и на други операционни системи, включително Windows.

Проблемът може да бъде решен само чрез актуализиране на системата списък с анулирани сертификати (dbx, UEFI Revocation List), но в този случай възможността за използване на стар инсталационен носител с Linux ще бъде загубена. Някои производители на оборудване вече са включили актуализиран списък със сертификати за анулиране в техния фърмуер; на такива системи само актуализирани компилации на дистрибуции на Linux могат да се зареждат в режим UEFI Secure Boot.

За да елиминирате уязвимостта в дистрибуциите, ще трябва също така да актуализирате инсталаторите, програмите за зареждане, пакетите на ядрото, фърмуера на fwupd и shim слоя, като генерирате нови цифрови подписи за тях. Потребителите ще трябва да актуализират инсталационните изображения и други стартиращи носители, както и да заредят списък с анулирани сертификати (dbx) във фърмуера на UEFI. Преди да актуализирате dbx до UEFI, системата остава уязвима, независимо от инсталирането на актуализации в операционната система.

Уязвимост причинена препълване на буфера, което може да се използва за изпълнение на произволен код по време на процеса на зареждане.
Уязвимостта възниква при анализиране на съдържанието на конфигурационния файл grub.cfg, който обикновено се намира в ESP (EFI System Partition) и може да се редактира от нападател с администраторски права, без да се нарушава целостта на подписаните shim и GRUB2 изпълними файлове. Защото Грешки в кода на конфигурационния анализатор манипулаторът за фатални грешки при анализиране YY_FATAL_ERROR само показва предупреждение, но не прекратява програмата. Рискът от уязвимост се намалява от необходимостта да имате привилегирован достъп до системата; въпреки това проблемът може да е необходим за въвеждане на скрити руткитове, ако имате физически достъп до оборудването (ако е възможно да стартирате от собствената си медия).

Повечето Linux дистрибуции използват малък shim слой, цифрово подписан от Microsoft. Този слой проверява GRUB2 със собствен сертификат, който позволява на разработчиците на разпространение да не имат всяко ядро ​​и актуализация на GRUB, сертифицирани от Microsoft. Уязвимостта позволява, чрез промяна на съдържанието на grub.cfg, да се постигне изпълнение на вашия код на етапа след успешна проверка на shim, но преди зареждане на операционната система, вклиняване във веригата на доверие, когато режимът Secure Boot е активен и придобиване на пълен контрол през по-нататъшния процес на зареждане, включително зареждане на друга операционна система, модификация на компонентите на операционната система и заобикаляне на защитата Lockdown.

Други уязвимости в GRUB2:

• CVE-2020 14308- — препълване на буфера поради липса на проверка на размера на разпределената област на паметта в grub_malloc;
• CVE-2020 14309- - целочислено препълване в grub_squash_read_symlink, което може да доведе до записване на данни извън разпределения буфер;
• CVE-2020 14310- - целочислено препълване в read_section_from_string, което може да доведе до запис на данни извън разпределения буфер;
• CVE-2020 14311- - целочислено препълване в grub_ext2_read_link, което може да доведе до запис на данни извън разпределения буфер;
• CVE-2020 15705- — ви позволява да зареждате неподписани ядра по време на директно зареждане в режим Secure Boot без слой за подреждане;
• CVE-2020 15706- — достъп до вече освободена област от паметта (използване след освобождаване) при предефиниране на функция по време на изпълнение;
• CVE-2020 15707- — целочислено препълване в манипулатора на размер initrd.

Издадени са актуализации на пакета с актуални корекции за Debian, Ubuntu, RHEL и SUSE. За GRUB2 предложено набор от лепенки.

Източник: opennet.ru