Трудни за коригиране уязвимости в GRUB2, които ви позволяват да заобиколите UEFI Secure Boot

Беше разкрита информация за 8 уязвимости в буутлоудъра GRUB2, които ви позволяват да заобиколите UEFI Secure Boot механизма и да стартирате непроверен код, например да внедрите зловреден софтуер, работещ на ниво буутлоудър или ядро.

Нека си припомним, че в повечето дистрибуции на Linux за проверено зареждане в режим UEFI Secure Boot се използва малък shim слой, цифрово подписан от Microsoft. Този слой проверява GRUB2 със собствен сертификат, който позволява на разработчиците на разпространение да не имат всяко ядро ​​и актуализация на GRUB, сертифицирани от Microsoft. Уязвимостите в GRUB2 ви позволяват да постигнете изпълнението на вашия код на етапа след успешна проверка на shim, но преди зареждането на операционната система, вклиняване във веригата на доверие, когато режимът Secure Boot е активен и получаване на пълен контрол върху по-нататъшния процес на зареждане, включително зареждане на друга операционна система, модифициране на компонентите на операционната система система и заобикаляне на защитата при блокиране.

Както при миналогодишната уязвимост на BootHole, актуализирането на буутлоудъра не е достатъчно, за да блокира проблема, тъй като атакуващ, независимо от използваната операционна система, може да използва стартиращ носител със стара, цифрово подписана, уязвима версия на GRUB2, за да компрометира UEFI Secure Boot. Проблемът може да бъде разрешен само чрез актуализиране на списъка с анулирани сертификати (dbx, UEFI Revocation List), но в този случай възможността за използване на стар инсталационен носител с Linux ще бъде загубена.

На системи с фърмуер, който има актуализиран списък с анулирани сертификати, само актуализирани компилации на дистрибуции на Linux могат да се зареждат в режим UEFI Secure Boot. Дистрибуциите ще трябва да актуализират инсталаторите, зареждащите програми, пакетите на ядрото, fwupd фърмуера и shim слоя, генерирайки нови цифрови подписи за тях. От потребителите ще се изисква да актуализират инсталационни изображения и други стартиращи носители, както и да заредят списък с отменени сертификати (dbx) във фърмуера на UEFI. Преди да актуализирате dbx до UEFI, системата остава уязвима, независимо от инсталирането на актуализации в операционната система. Състоянието на уязвимостите може да бъде оценено на тези страници: Ubuntu, SUSE, RHEL, Debian.

За решаване на проблеми, които възникват при разпространението на анулирани сертификати, в бъдеще се планира да се използва механизмът SBAT (UEFI Secure Boot Advanced Targeting), поддръжката за който е внедрена за GRUB2, shim и fwupd, и като се започне от следващите актуализации ще бъде използва се вместо функционалността, предоставена от пакета dbxtool. SBAT е разработен съвместно с Microsoft и включва добавяне на нови метаданни към изпълнимите файлове на компонентите на UEFI, което включва информация за производителя, продукта, компонента и версията. Посочените метаданни са сертифицирани с цифров подпис и могат допълнително да бъдат включени в списъците с разрешени или забранени компоненти за UEFI Secure Boot. По този начин SBAT ще ви позволи да манипулирате номерата на версиите на компонентите по време на анулиране, без да е необходимо да генерирате повторно ключове за Secure Boot и без да генерирате нови подписи за ядрото, shim, grub2 и fwupd.

Идентифицирани уязвимости:

• CVE-2020-14372 – Използвайки командата acpi в GRUB2, привилегирован потребител в локалната система може да зарежда модифицирани ACPI таблици, като постави SSDT (Таблица с описание на вторичната система) в директорията /boot/efi и промени настройките в grub.cfg. Въпреки че режимът Secure Boot е активен, предложената SSDT ще бъде изпълнена от ядрото и може да се използва за деактивиране на защитата LockDown, която блокира пътищата за заобикаляне на UEFI Secure Boot. В резултат на това атакуващият може да постигне зареждане на своя модул на ядрото или работещ код чрез механизма kexec, без да проверява цифровия подпис.
• CVE-2020-25632 е достъп след освобождаване на паметта при изпълнението на командата rmmod, което се случва, когато се направи опит за разтоварване на модул, без да се вземат предвид зависимостите, свързани с него. Уязвимостта не изключва създаването на експлойт, който може да доведе до изпълнение на код, заобикаляйки проверката на Secure Boot.
• CVE-2020-25647 Запис извън границите във функцията grub_usb_device_initialize(), извикана при инициализиране на USB устройства. Проблемът може да се използва чрез свързване на специално подготвено USB устройство, което произвежда параметри, чийто размер не съответства на размера на буфера, разпределен за USB структури. Нападателят може да постигне изпълнение на код, който не е проверен в Secure Boot, като манипулира USB устройства.
• CVE-2020-27749 е препълване на буфера във функцията grub_parser_split_cmdline(), което може да бъде причинено от посочване на променливи, по-големи от 2 KB в командния ред GRUB1. Уязвимостта позволява изпълнение на код за заобикаляне на Secure Boot.
• CVE-2020-27779 – Командата cutmem позволява на атакуващ да премахне диапазон от адреси от паметта, за да заобиколи защитеното зареждане.
• CVE-2021-3418 – Промените в shim_lock създадоха допълнителен вектор за използване на миналогодишната уязвимост CVE-2020-15705. Чрез инсталиране на сертификата, използван за подписване на GRUB2 в dbx, GRUB2 позволи всяко ядро ​​да бъде заредено директно без проверка на подписа.
• CVE-2021-20225 - Възможност за записване на данни извън границите при изпълнение на команди с много голям брой опции.
• CVE-2021-20233 - Възможност за запис на данни извън границите поради неправилно изчисляване на размера на буфера при използване на кавички. При изчисляването на размера беше прието, че са необходими три знака, за да се избегнат единични кавички, когато всъщност бяха необходими четири.

Източник: opennet.ru