שתי נקודות תורפה ב-GRUB2 המאפשרות לך לעקוף את הגנת UEFI Secure Boot

נחשף מידע על שתי נקודות תורפה במטען האתחול של GRUB2, שעלולות להוביל לביצוע קוד בעת שימוש בגופנים שעוצבו במיוחד ועיבוד רצפי Unicode מסוימים. ניתן להשתמש בפגיעויות כדי לעקוף את מנגנון האתחול מאומת של UEFI Secure Boot.

נקודות תורפה שזוהו:

• CVE-2022-2601 - גלישת חוצץ בפונקציה grub_font_construct_glyph() בעת עיבוד גופנים שתוכננו במיוחד בפורמט pf2, המתרחשת עקב חישוב שגוי של הפרמטר max_glyph_size והקצאת אזור זיכרון שכמובן קטן מהנדרש כדי להכיל את הגליפים.
• CVE-2022-3775 כתיבה מחוץ לתחום מתרחשת בעת רינדור חלק מרצפי Unicode בגופן בעל סגנון מיוחד. הבעיה היא בקוד עיבוד הפונטים ונגרמת מהיעדר בדיקות מתאימות כדי לוודא שהרוחב והגובה של הגליף תואמים לגודל מפת הסיביות הזמינה. תוקף יכול ליצור את הקלט בצורה כזו שתגרום לכך שזנב הנתונים ייכתב אל מחוץ למאגר המוקצה. יצוין שלמרות המורכבות של ניצול הפגיעות, הבאת הבעיה לביצוע קוד אינה נכללת.

התיקון פורסם כתיקון. ניתן להעריך את מצב ביטול הפגיעויות בהפצות בדפים הבאים: אובונטו, SUSE, RHEL, Fedora, Debian. כדי לתקן בעיות ב-GRUB2, זה לא מספיק רק לעדכן את החבילה; תצטרך גם ליצור חתימות דיגיטליות פנימיות חדשות ולעדכן מתקינים, מאגרי אתחול, חבילות ליבה, קושחה fwupd ושכבת shim.

רוב ההפצות של לינוקס משתמשות בשכבת shim קטנה החתומה דיגיטלית על ידי מיקרוסופט לאתחול מאומת במצב UEFI Secure Boot. שכבה זו מאמתת את GRUB2 עם תעודה משלה, מה שמאפשר למפתחי הפצה לא לקבל אישור לכל ליבה ועדכון GRUB על ידי מיקרוסופט. פגיעויות ב-GRUB2 מאפשרות לך להשיג את ביצוע הקוד שלך בשלב שלאחר אימות shim מוצלח, אך לפני טעינת מערכת ההפעלה, היצמדות לשרשרת האמון כאשר מצב Secure Boot פעיל וקבלת שליטה מלאה על תהליך האתחול הנוסף, כולל טעינת מערכת הפעלה אחרת, שינוי מערכת רכיבי מערכת ההפעלה ועקוף הגנת נעילה.

כדי לחסום את הפגיעות מבלי לבטל את החתימה הדיגיטלית, הפצות יכולות להשתמש במנגנון SBAT (UEFI Secure Boot Advanced Targeting), אשר נתמך עבור GRUB2, shim ו-fwupd ברוב ההפצות הפופולריות של לינוקס. SBAT פותחה במשותף עם מיקרוסופט וכוללת הוספת מטא נתונים נוספים לקבצי ההפעלה של רכיבי UEFI, הכוללים מידע על היצרן, המוצר, הרכיב והגרסה. המטא נתונים שצוינו מאושרים בחתימה דיגיטלית וניתן לכלול אותם בנפרד ברשימות של רכיבים מותרים או אסורים עבור UEFI Secure Boot.

SBAT מאפשר לך לחסום את השימוש בחתימות דיגיטליות עבור מספרי גרסאות של רכיבים בודדים מבלי שתצטרך לבטל מפתחות עבור אתחול מאובטח. חסימת נקודות תורפה באמצעות SBAT אינה מצריכה שימוש ברשימת ביטולי אישורי UEFI (dbx), אלא מבוצעת ברמת החלפת המפתח הפנימי ליצירת חתימות ועדכון GRUB2, shim וחפצי אתחול אחרים המסופקים על ידי הפצות. לפני הצגת SBAT, עדכון רשימת ביטולי האישורים (dbx, UEFI Revocation List) היה תנאי מוקדם לחסימת הפגיעות לחלוטין, שכן תוקף, ללא קשר למערכת ההפעלה שבה נעשה שימוש, יכול להשתמש במדיה ניתנת לאתחול עם גרסה ישנה ופגיעה של GRUB2, מאושר על ידי חתימה דיגיטלית, כדי לסכן את UEFI Secure Boot .

מקור: OpenNet.ru