פגיעות קריטית במטען האתחול GRUB2 המאפשר לך לעקוף את UEFI Secure Boot

במטען האתחול GRUB2 גילה 8 נקודות תורפה. המסוכן ביותר בעיה (CVE-2020-10713), שהוא שם הקוד BootHole, תן הזדמנות לעקוף את מנגנון האתחול המאובטח של UEFI ולהתקין תוכנות זדוניות לא מאומתות. הייחודיות של פגיעות זו היא שכדי לחסל אותה לא מספיק לעדכן GRUB2, שכן התוקף יכול להשתמש במדיה ניתנת לאתחול עם גרסה פגיעה ישנה שאושרה על ידי חתימה דיגיטלית. תוקף יכול לסכן את תהליך האימות לא רק של לינוקס, אלא גם של מערכות הפעלה אחרות, כולל Windows.

ניתן לפתור את הבעיה רק ​​על ידי עדכון המערכת רשימת ביטולי האישורים (dbx, UEFI Revocation List), אך במקרה זה תאבד היכולת להשתמש במדיית התקנה ישנה עם לינוקס. חלק מיצרני הציוד כבר כללו רשימה מעודכנת של אישורי ביטול בקושחה שלהם; במערכות כאלה, ניתן לטעון רק גירושים מעודכנים של הפצות לינוקס במצב UEFI Secure Boot.

כדי לבטל את הפגיעות בהפצות, תצטרך גם לעדכן מתקינים, מטעני אתחול, חבילות ליבה, קושחת fwupd ושכבת shim, לייצר עבורם חתימות דיגיטליות חדשות. המשתמשים יידרשו לעדכן תמונות התקנה ומדיה ניתנת לאתחול, וכן לטעון רשימת ביטולי אישורים (dbx) לקושחת UEFI. לפני עדכון dbx ל-UEFI, המערכת נשארת פגיעה ללא קשר להתקנת עדכונים במערכת ההפעלה.

פגיעות גרם ל הצפת מאגר שניתן לנצל לביצוע קוד שרירותי במהלך תהליך האתחול.
הפגיעות מתרחשת בעת ניתוח התוכן של קובץ התצורה grub.cfg, אשר נמצא בדרך כלל ב-ESP (מחיצת מערכת EFI) וניתן לערוך אותו על ידי תוקף עם זכויות מנהל מבלי להפר את שלמות ה-shim וקובצי ההפעלה החתומים של GRUB2. בגלל שגיאות בקוד מנתח התצורה, המטפל לשגיאות ניתוח קטלניות YY_FATAL_ERROR הציג רק אזהרה, אך לא סיים את התוכנית. הסיכון לפגיעות מופחת על ידי הצורך בגישה מוסמכת למערכת; עם זאת, ייתכן שהבעיה תידרש כדי להציג rootkits נסתרים אם יש לך גישה פיזית לציוד (אם זה אפשרי לאתחל מהמדיה שלך).

רוב ההפצות של לינוקס משתמשות ב-small שכבת shim, חתום דיגיטלי על ידי Microsoft. שכבה זו מאמתת את GRUB2 עם תעודה משלה, מה שמאפשר למפתחי הפצה לא לקבל אישור לכל ליבה ועדכון GRUB על ידי מיקרוסופט. הפגיעות מאפשרת, על ידי שינוי התוכן של grub.cfg, להשיג ביצוע של הקוד שלך בשלב שלאחר אימות shim מוצלח, אך לפני טעינת מערכת ההפעלה, להיצמד לשרשרת האמון כאשר מצב אתחול מאובטח פעיל ולקבל שליטה מלאה על תהליך האתחול הנוסף, כולל טעינת מערכת הפעלה אחרת, שינוי רכיבי מערכת ההפעלה והגנה עקיפת נעילה.

נקודות תורפה אחרות ב-GRUB2:

• CVE-2020-14308 - גלישת מאגר עקב חוסר בדיקת גודל אזור הזיכרון המוקצה ב-grub_malloc;
• CVE-2020-14309 - הצפת מספרים שלמים ב-grub_squash_read_symlink, שיכולה להוביל לכתיבת נתונים מעבר למאגר שהוקצה;
• CVE-2020-14310 - גלישת מספרים שלמים ב-read_section_from_string, מה שיכול להוביל לכתיבת נתונים מעבר למאגר המוקצה;
• CVE-2020-14311 - הצפת מספרים שלמים ב-grub_ext2_read_link, אשר יכולה להוביל לכתיבת נתונים מעבר למאגר המוקצה;
• CVE-2020-15705 - מאפשר לך לטעון גרעינים לא חתומים במהלך אתחול ישיר במצב אתחול מאובטח ללא שכבת shim;
• CVE-2020-15706 - גישה לאזור זיכרון משוחרר כבר (שימוש לאחר-חופשי) בעת הגדרה מחדש של פונקציה בזמן ריצה;
• CVE-2020-15707 - גלישת מספרים שלמים במטפל הגודל initrd.

עדכוני ערכת תיקונים חמים שוחררו עבור דביאן, אובונטו, רהל и SUSE. עבור GRUB2 מוּצָע סט של תיקונים.

מקור: OpenNet.ru