Уязвимости в GRUB2, които ви позволяват да заобиколите UEFI Secure Boot

Коригирани са 2 уязвимости в буутлоудъра GRUB7, които ви позволяват да заобиколите UEFI Secure Boot механизма и да стартирате непроверен код, например да въведете злонамерен софтуер, работещ на ниво буутлоудър или ядро. Освен това има една уязвимост в shim слоя, която също ви позволява да заобиколите UEFI Secure Boot. Групата от уязвимости беше с кодово име Boothole 3, подобно на подобни проблеми, идентифицирани преди това в буутлоудъра.

За отстраняване на проблеми в GRUB2 и shim, дистрибуциите ще могат да използват механизма SBAT (UEFI Secure Boot Advanced Targeting), който се поддържа за GRUB2, shim и fwupd. SBAT е разработен съвместно с Microsoft и включва добавяне на допълнителни метаданни към изпълнимите файлове на компонентите на UEFI, което включва информация за производителя, продукта, компонента и версията. Посочените метаданни са сертифицирани с цифров подпис и могат да бъдат включени отделно в списъците с разрешени или забранени компоненти за UEFI Secure Boot.

Повечето дистрибуции на Linux използват малък shim слой, цифрово подписан от Microsoft за проверено зареждане в режим UEFI Secure Boot. Този слой проверява GRUB2 със собствен сертификат, който позволява на разработчиците на разпространение да не имат всяко ядро ​​и актуализация на GRUB, сертифицирани от Microsoft. Уязвимостите в GRUB2 ви позволяват да постигнете изпълнението на вашия код на етапа след успешна проверка на shim, но преди зареждането на операционната система, вклиняване във веригата на доверие, когато режимът Secure Boot е активен и получаване на пълен контрол върху по-нататъшния процес на зареждане, включително зареждане на друга операционна система, модифициране на компонентите на операционната система система и заобикаляне на защитата при блокиране.

За да коригират проблемите в буутлоудъра, дистрибуциите ще трябва да създадат нови вътрешни цифрови подписи и да актуализират инсталаторите, буутлоудърите, пакетите на ядрото, фърмуера на fwupd и shim слоя. Преди въвеждането на SBAT, актуализирането на списъка с анулирани сертификати (dbx, UEFI Revocation List) беше предпоставка за пълно блокиране на уязвимостта, тъй като атакуващ, независимо от използваната операционна система, можеше да използва стартиращ носител със стара уязвима версия на GRUB2, сертифицирани с цифров подпис, за компрометиране на UEFI Secure Boot.

Вместо да отмените подпис, SBAT ви позволява да блокирате използването му за отделни номера на версията на компонента, без да се налага да отменяте ключовете за Secure Boot. Блокирането на уязвимости чрез SBAT не изисква използването на списък за анулиране на UEFI сертификати (dbx), но се извършва на ниво замяна на вътрешния ключ за генериране на подписи и актуализиране на GRUB2, shim и други артефакти за зареждане, предоставени от дистрибуции. В момента поддръжката на SBAT вече е добавена към повечето популярни Linux дистрибуции.

Идентифицирани уязвимости:

• CVE-2021-3696, CVE-2021-3695 са базирани на куп препълвания на буфери при обработка на специално проектирани PNG изображения, които теоретично могат да се използват за изпълнение на код на атакуващ и заобикаляне на UEFI Secure Boot. Отбелязва се, че проблемът е труден за използване, тъй като създаването на работещ експлойт изисква отчитане на голям брой фактори и наличието на информация за оформлението на паметта.
• CVE-2021-3697 - Препълване на буфера в кода за обработка на JPEG изображения. Използването на проблема изисква познаване на оформлението на паметта и е на приблизително същото ниво на сложност като проблема с PNG (CVSS 7.5).
• CVE-2022-28733 - Препълване на цяло число във функцията grub_net_recv_ip4_packets() позволява параметърът rsm->total_len да бъде засегнат чрез изпращане на специално създаден IP пакет. Проблемът е маркиран като най-опасният от представените уязвимости (CVSS 8.1). Ако бъде използвана успешно, уязвимостта позволява записването на данни отвъд границата на буфера чрез заделяне на умишлено по-малък размер на паметта.
• CVE-2022-28734 - Препълване на еднобайтов буфер при обработка на оголени HTTP заглавки. Проблем може да причини повреда на метаданните на GRUB2 (записване на нулев байт точно след края на буфера) при анализиране на специално създадени HTTP заявки.
• CVE-2022-28735 Проблем в верификатора shim_lock позволява зареждане на файл извън ядрото. Уязвимостта може да се използва за зареждане на неподписани модули на ядрото или непроверен код в режим UEFI Secure Boot.
• CVE-2022-28736 Вече освободен достъп до паметта във функцията grub_cmd_chainloader() чрез повторно изпълнение на командата chainloader, използвана за зареждане на операционни системи, които не се поддържат от GRUB2. Експлоатацията може да доведе до изпълнение на кода на атакуващия, ако атакуващият е в състояние да определи разпределението на паметта в GRUB2
• CVE-2022-28737 - Препълване на буфера в слоя за подреждане възниква във функцията handle_image() при зареждане и изпълнение на създадени EFI изображения.

Източник: opennet.ru