Ένα θέμα ευπάθειας (CVE-2-2023) εντοπίστηκε στο πρόγραμμα οδήγησης που παρέχει υποστήριξη για το σύστημα αρχείων NTFS στο bootloader GRUB4692, επιτρέποντας την εκτέλεση του κώδικά του σε επίπεδο bootloader κατά την πρόσβαση σε μια ειδικά σχεδιασμένη εικόνα συστήματος αρχείων. Το θέμα ευπάθειας μπορεί να χρησιμοποιηθεί για την παράκαμψη του μηχανισμού επαληθευμένης εκκίνησης UEFI Secure Boot.
Η ευπάθεια προκαλείται από ένα σφάλμα στον κώδικα ανάλυσης του χαρακτηριστικού NTFS "$ATTRIBUTE_LIST" (grub-core/fs/ntfs.c), το οποίο μπορεί να χρησιμοποιηθεί για την εγγραφή πληροφοριών που ελέγχονται από τον χρήστη σε μια περιοχή μνήμης εκτός του εκχωρημένου buffer. Κατά την επεξεργασία μιας ειδικά κατασκευασμένης εικόνας NTFS, η υπερχείλιση οδηγεί σε αντικατάσταση μέρους της μνήμης GRUB και, υπό ορισμένες συνθήκες, σε καταστροφή της περιοχής μνήμης υλικολογισμικού UEFI, η οποία ενδεχομένως επιτρέπει την εκτέλεση προσαρμοσμένου κώδικα σε επίπεδο bootloader ή υλικολογισμικού.
Επιπλέον, ανακαλύφθηκε μια άλλη ευπάθεια (CVE-2-2023) στο πρόγραμμα οδήγησης NTFS από το GRUB4693, η οποία επιτρέπει την ανάγνωση του περιεχομένου μιας αυθαίρετης περιοχής μνήμης κατά την ανάλυση του χαρακτηριστικού "$DATA" σε μια ειδικά σχεδιασμένη εικόνα NTFS. Μεταξύ άλλων, η ευπάθεια επιτρέπει την εξαγωγή ευαίσθητων δεδομένων που είναι αποθηκευμένα προσωρινά στη μνήμη ή τον προσδιορισμό των τιμών των μεταβλητών EFI.
Τα προβλήματα έχουν μέχρι στιγμής αντιμετωπιστεί μόνο μέσω ενημερώσεων κώδικα. Η κατάσταση των διορθώσεων ευπαθειών στις διανομές μπορεί να αξιολογηθεί σε αυτές τις σελίδες: Debian, Ubuntu, SUSE, RHEL, Fedora. Η διόρθωση προβλημάτων του GRUB2 απαιτεί περισσότερα από την απλή ενημέρωση του πακέτου. Απαιτεί επίσης τη δημιουργία νέων εσωτερικών ψηφιακών υπογραφών και την ενημέρωση των προγραμμάτων εγκατάστασης, των προγραμμάτων εκκίνησης, των πακέτων πυρήνα, του υλικολογισμικού fwupd και του επιπέδου shim.
Στα περισσότερα LinuxΟι διανομές για επαληθευμένη εκκίνηση σε λειτουργία UEFI Secure Boot χρησιμοποιούν ένα μικρό επίπεδο shim, ψηφιακά υπογεγραμμένο από τη Microsoft. Αυτό το επίπεδο επαληθεύει το GRUB2 με το δικό του πιστοποιητικό, εξαλείφοντας την ανάγκη οι προγραμματιστές διανομών να ενημερώνουν τη Microsoft για κάθε ενημέρωση πυρήνα και GRUB. Τα τρωτά σημεία στο GRUB2 επιτρέπουν την αυθαίρετη εκτέλεση κώδικα μετά την επιτυχή επαλήθευση shim, αλλά πριν από την εκκίνηση του λειτουργικού συστήματος. Αυτό επιτρέπει στους εισβολείς να παραβιάσουν την αλυσίδα εμπιστοσύνης όταν είναι ενεργοποιημένη η Secure Boot και να αποκτήσουν πλήρη έλεγχο της επακόλουθης διαδικασίας εκκίνησης, για παράδειγμα, για να εκκινήσουν ένα άλλο λειτουργικό σύστημα, να τροποποιήσουν στοιχεία του λειτουργικού συστήματος ή να παρακάμψουν την προστασία Lockdown.
Για να μπλοκάρουν την ευπάθεια χωρίς να ανακαλέσουν την ψηφιακή υπογραφή, οι διανομές μπορούν να χρησιμοποιήσουν τον μηχανισμό SBAT (UEFI Secure Boot Advanced Targeting), η υποστήριξη του οποίου εφαρμόζεται για GRUB2, shim και fwupd στις περισσότερες δημοφιλείς διανομές. LinuxΤο SBAT αναπτύχθηκε σε συνεργασία με τη Microsoft και περιλαμβάνει την προσθήκη πρόσθετων μεταδεδομένων σε εκτελέσιμα αρχεία στοιχείων UEFI, συμπεριλαμβανομένων πληροφοριών σχετικά με τον κατασκευαστή, το προϊόν, το στοιχείο και την έκδοση. Αυτά τα μεταδεδομένα είναι ψηφιακά υπογεγραμμένα και μπορούν να συμπεριληφθούν ξεχωριστά στις λίστες επιτρεπόμενων ή απαγορευμένων στοιχείων για το UEFI Secure Boot.
Το SBAT επιτρέπει τον αποκλεισμό της χρήσης ψηφιακών υπογραφών για μεμονωμένους αριθμούς έκδοσης στοιχείων χωρίς την ανάγκη ανάκλησης κλειδιών για Ασφαλή Εκκίνηση. Ο αποκλεισμός ευπαθειών μέσω του SBAT δεν απαιτεί τη χρήση λίστας ανάκλησης πιστοποιητικών UEFI (dbx), αλλά εκτελείται στο επίπεδο αντικατάστασης του εσωτερικού κλειδιού για τη δημιουργία υπογραφών και την ενημέρωση του GRUB2, του shim και άλλων αντικειμένων εκκίνησης που παρέχονται από διανομές. Πριν από την εισαγωγή του SBAT, η ενημέρωση της λίστας ανακληθέντων πιστοποιητικών (dbx, Λίστα Ανάκλησης UEFI) ήταν υποχρεωτική προϋπόθεση για τον πλήρη αποκλεισμό της ευπάθειας, καθώς ένας εισβολέας, ανεξάρτητα από το λειτουργικό σύστημα που χρησιμοποιήθηκε, μπορούσε να χρησιμοποιήσει το κλειδί εκκίνησης για να θέσει σε κίνδυνο την Ασφαλή Εκκίνηση UEFI.
Πηγή: opennet.ru
