Уязвимост в NTFS драйвера от GRUB2, позволяваща изпълнение на код и заобикаляне на UEFI Secure Boot

В драйвера, поддържащ файловата система NTFS в буутлоудъра GRUB2, е идентифицирана уязвимост (CVE-2023-4692). Тази уязвимост позволява изпълнението на персонализиран код на ниво буутлоудър при достъп до специално създаден образ на файловата система. Тази уязвимост може да бъде използвана за заобикаляне на механизма за потвърдено зареждане UEFI Secure Boot.

Уязвимостта е причинена от грешка в кода за парсиране на NTFS атрибута "$ATTRIBUTE_LIST" (grub-core/fs/ntfs.c), която може да бъде използвана за записване на контролирана от потребителя информация в място в паметта извън разпределения буфер. При обработка на специално създаден NTFS образ, препълването води до презаписване на част от GRUB паметта и, при определени условия, до повреда на UEFI фърмуер паметта, което потенциално позволява изпълнение на код на ниво bootloader или фърмуер.

Освен това, в NTFS драйвера в GRUB2 беше открита друга уязвимост (CVE-2023-4693). Тази уязвимост позволява четене на произволно съдържание на паметта при анализиране на атрибута "$DATA" в специално създаден NTFS образ. Освен всичко друго, тази уязвимост позволява извличане на чувствителни данни, кеширани в паметта, или определяне на стойностите на EFI променливи.

Проблемите са отстранени само засега. Състоянието на корекциите на уязвимостите в дистрибуциите може да бъде оценено на тези страници: Debian, Ubuntu, SUSE, RHEL, Fedora. Отстраняването на проблеми с GRUB2 изисква повече от просто актуализиране на пакета; то изисква също генериране на нови вътрешни цифрови подписи и актуализиране на инсталатори, зареждащи програми, пакети на ядрото, фърмуер на fwupd и слой shim.

В повечето LinuxДистрибуциите за проверено зареждане в режим UEFI Secure Boot използват малък защитен слой (shim layer), цифрово подписан от Microsoft. Този слой проверява GRUB2 със собствен сертификат, елиминирайки необходимостта разработчиците на дистрибуции да уведомяват Microsoft за всяка актуализация на ядрото и GRUB. Уязвимостите в GRUB2 позволяват изпълнение на произволен код след успешна проверка на защитния слой (shim layer), но преди зареждането на операционната система. Това позволява на атакуващите да пробият във веригата на доверие, когато Secure Boot е активиран, и да получат пълен контрол върху последващия процес на зареждане, например, за да стартират друга операционна система, да променят компоненти на операционната система или да заобиколят защитата Lockdown.

За да блокират уязвимостта без да отменят цифровия подпис, дистрибуциите могат да използват механизма SBAT (UEFI Secure Boot Advanced Targeting), чиято поддръжка е реализирана за GRUB2, shim и fwupd в повечето популярни дистрибуции. LinuxSBAT е разработен в сътрудничество с Microsoft и включва добавяне на допълнителни метаданни към изпълнимите файлове на компонентите на UEFI, включително информация за производителя, продукта, компонента и версията. Тези метаданни са цифрово подписани и могат да бъдат включени отделно в списъците с разрешени или забранени компоненти за UEFI Secure Boot.

SBAT позволява блокиране на използването на цифрови подписи за отделни номера на версии на компоненти, без да е необходимо да се отменят ключове за Secure Boot. Блокирането на уязвимости чрез SBAT не изисква използването на списъка за отменени сертификати на UEFI (dbx), а се извършва на ниво подмяна на вътрешния ключ за генериране на подписи и актуализиране на GRUB2, shim и други артефакти за зареждане, предоставяни от дистрибуциите. Преди въвеждането на SBAT, актуализирането на списъка за отменени сертификати на UEFI (dbx) беше задължително условие за пълно блокиране на уязвимостта, тъй като атакуващ, независимо от използваната операционна система, можеше да използва ключа за зареждане, за да компрометира UEFI Secure Boot.

Източник: opennet.ru