2-kwetsberheden binne reparearre yn 'e GRUB7-bootloader wêrtroch jo it UEFI Secure Boot-meganisme kinne omgean en net ferifiearre koade útfiere, bygelyks malware yntrodusearje dy't rint op it bootloader- of kernelnivo. Derneist is d'r ien kwetsberens yn 'e shim-laach, wêrmei jo ek UEFI Secure Boot kinne omgean. De groep fan kwetsberens waard koadenamme Boothole 3, fergelykber mei ferlykbere problemen earder identifisearre yn 'e bootloader.
Om problemen yn GRUB2 en shim op te lossen, sille distribúsjes it SBAT-meganisme (UEFI Secure Boot Advanced Targeting) kinne brûke, dat wurdt stipe foar GRUB2, shim en fwupd. SBAT is ûntwikkele tegearre mei Microsoft en omfettet it tafoegjen fan ekstra metadata oan 'e útfierbere bestannen fan UEFI-komponinten, dy't ynformaasje omfettet oer de fabrikant, produkt, komponint en ferzje. De opjûne metadata is sertifisearre mei in digitale hantekening en kinne apart wurde opnommen yn 'e listen fan tastiene of ferbeane komponinten foar UEFI Secure Boot.
De measte Linux-distribúsjes brûke in lyts shim-laach digitaal ûndertekene troch Microsoft foar ferifiearre opstarten yn UEFI Secure Boot-modus. Dizze laach ferifiearret GRUB2 mei in eigen sertifikaat, wêrtroch distribúsjeûntwikkelders net elke kernel en GRUB-fernijing kinne hawwe sertifisearre troch Microsoft. Kwetsberheden yn GRUB2 kinne jo berikke de útfiering fan jo koade op it poadium nei suksesfolle shim ferifikaasje, mar foardat it laden fan it bestjoeringssysteem, wedging yn 'e keatling fan fertrouwen as Secure Boot modus is aktyf en it krijen fan folsleine kontrôle oer de fierdere boot proses, ynklusyf lade in oar OS, wizigjen bestjoeringssysteem komponinten systeem en bypass Lockdown beskerming.
Om problemen yn 'e bootloader te reparearjen, sille distribúsjes nije ynterne digitale hantekeningen moatte oanmeitsje en ynstallearders, bootloaders, kernelpakketten, fwupd-firmware en shim-laach bywurkje. Foar de yntroduksje fan SBAT wie it bywurkjen fan de sertifikaat weromlûkingslist (dbx, UEFI Revocation List) in betingst foar it folslein blokkearjen fan de kwetsberens, om't in oanfaller, nettsjinsteande it brûkte bestjoeringssysteem, bootbere media brûke koe mei in âlde kwetsbere ferzje fan GRUB2, sertifisearre troch in digitale hantekening, om UEFI Secure Boot te kompromittearjen.
Yn stee fan in hantekening yn te lûken, lit SBAT jo gebrûk meitsje foar yndividuele ferzjenûmers fan komponinten sûnder de kaaien foar Secure Boot yn te lûken. Blokkearjen fan kwetsberens fia SBAT fereasket net it gebrûk fan in UEFI-sertifikaat weromlûkingslist (dbx), mar wurdt útfierd op it nivo fan it ferfangen fan de ynterne kaai om hantekeningen te generearjen en GRUB2, shim en oare bootartefakten te aktualisearjen levere troch distribúsjes. Op it stuit is SBAT-stipe al tafoege oan de meast populêre Linux-distribúsjes.
Identifisearre kwetsberens:
- CVE-2021-3696, CVE-2021-3695 binne heap-basearre bufferoerstreamingen by it ferwurkjen fan spesjaal ûntworpen PNG-ôfbyldings, dy't teoretysk kinne wurde brûkt om oanfallerskoade út te fieren en UEFI Secure Boot te omgean. It wurdt opmurken dat it probleem is lestich te eksploitearjen, sûnt it meitsjen fan in wurkjende eksploitaasje fereasket rekken hâldend mei in grut oantal faktoaren en de beskikberens fan ynformaasje oer it ûnthâld yndieling.
- CVE-2021-3697 - In bufferûnderstream yn 'e JPEG-ôfbyldingsferwurkingskoade. It brûken fan it probleem fereasket kennis fan 'e ûnthâldopmaak en is op sawat itselde nivo fan kompleksiteit as it PNG-probleem (CVSS 7.5).
- CVE-2022-28733 - In hiele getal oerstreaming yn de funksje grub_net_recv_ip4_packets() lit de parameter rsm->total_len wurde beynfloede troch it ferstjoeren fan in spesjaal makke IP-pakket. It probleem wurdt markearre as it gefaarlikste fan 'e presinteare kwetsberens (CVSS 8.1). As suksesfol eksploitearre, lit de kwetsberens gegevens wurde skreaun bûten de buffergrins troch it tawizen fan in bewust lytsere ûnthâldgrutte.
- CVE-2022-28734 - Single-byte buffer oerstreaming by it ferwurkjen fan stripped HTTP headers. In probleem kin GRUB2-metadata-korrupsje feroarsaakje (in null-byte skriuwe krekt nei it ein fan 'e buffer) by it parsearjen fan spesjaal makke HTTP-oanfragen.
- CVE-2022-28735 In probleem yn 'e shim_lock-verifier lit net-kernel-bestân laden. De kwetsberens kin brûkt wurde om net-ûndertekene kernelmodules of net ferifiearre koade te laden yn UEFI Secure Boot-modus.
- CVE-2022-28736 In al befrijde ûnthâld tagong yn de grub_cmd_chainloader () funksje fia in werútjefte fan de chainloader kommando, brûkt om boot bestjoeringssystemen net stipe troch GRUB2. Eksploitaasje kin resultearje yn útfiering fan oanfallerskoade as de oanfaller yn steat is om ûnthâldallokaasje yn GRUB2 te bepalen
- CVE-2022-28737 - In bufferoerlêst yn 'e shim-laach komt foar yn 'e handle_image () -funksje by it laden en útfieren fan makke EFI-ôfbyldings.
Boarne: opennet.ru