נקודות תורפה שקשה לתקן ב-GRUB2 המאפשרות לך לעקוף את UEFI Secure Boot

נחשף מידע על 8 נקודות תורפה במטען האתחול GRUB2, המאפשרות לך לעקוף את מנגנון האתחול המאובטח של UEFI ולהריץ קוד לא מאומת, למשל, ליישם תוכנות זדוניות הפועלות ברמת האתחול או רמת הקרנל.

נזכיר שברוב ההפצות של לינוקס, לאתחול מאומת במצב UEFI Secure Boot, נעשה שימוש בשכבת shim קטנה, חתומה דיגיטלית על ידי מיקרוסופט. שכבה זו מאמתת את GRUB2 עם תעודה משלה, מה שמאפשר למפתחי הפצה לא לקבל אישור לכל ליבה ועדכון GRUB על ידי מיקרוסופט. פגיעויות ב-GRUB2 מאפשרות לך להשיג את ביצוע הקוד שלך בשלב שלאחר אימות shim מוצלח, אך לפני טעינת מערכת ההפעלה, היצמדות לשרשרת האמון כאשר מצב Secure Boot פעיל וקבלת שליטה מלאה על תהליך האתחול הנוסף, כולל טעינת מערכת הפעלה אחרת, שינוי מערכת רכיבי מערכת ההפעלה ועקוף הגנת נעילה.

בדומה לפגיעות של BootHole בשנה שעברה, עדכון של טוען האתחול אינו מספיק כדי לחסום את הבעיה, שכן תוקף, ללא קשר למערכת ההפעלה שבה נעשה שימוש, יכול להשתמש במדיה ניתנת לאתחול עם גרסה ישנה, ​​חתומה דיגיטלית, פגיעה של GRUB2 כדי לסכן את UEFI Secure Boot. ניתן לפתור את הבעיה רק ​​על ידי עדכון רשימת ביטולי האישורים (dbx, UEFI Revocation List), אך במקרה זה תאבד היכולת להשתמש במדיית התקנה ישנה עם לינוקס.

במערכות עם קושחה שיש לה רשימת ביטולי אישורים מעודכנת, ניתן לטעון רק גירושים מעודכנים של הפצות לינוקס במצב UEFI Secure Boot. ההפצות יצטרכו לעדכן מתקינים, מטעני אתחול, חבילות ליבה, קושחה fwupd ושכבת shim, לייצר חתימות דיגיטליות חדשות עבורם. המשתמשים יידרשו לעדכן תמונות התקנה ומדיה ניתנת לאתחול, וכן לטעון רשימת ביטולי אישורים (dbx) לקושחה של UEFI. לפני עדכון dbx ל-UEFI, המערכת נשארת פגיעה ללא קשר להתקנת עדכונים במערכת ההפעלה. ניתן להעריך את מצב הפגיעות בדפים הבאים: אובונטו, SUSE, RHEL, Debian.

כדי לפתור בעיות המתעוררות בעת הפצת אישורים שנשללו, בעתיד מתוכנן להשתמש במנגנון SBAT (UEFI Secure Boot Advanced Targeting), שהתמיכה בו הוטמעה עבור GRUB2, shim ו-fwupd, והחל מהעדכונים הבאים תהיה בשימוש במקום הפונקציונליות שמספקת חבילת dbxtool. SBAT פותחה במשותף עם מיקרוסופט וכוללת הוספת מטא נתונים חדשים לקבצי ההפעלה של רכיבי UEFI, הכוללים מידע על היצרן, המוצר, הרכיב והגרסה. המטא נתונים שצוינו מאושרים בחתימה דיגיטלית וניתן בנוסף להיכלל ברשימות של רכיבים מותרים או אסורים עבור UEFI Secure Boot. לפיכך, SBAT יאפשר לך לתפעל מספרי גרסאות של רכיבים במהלך ביטול ללא צורך ליצור מחדש מפתחות עבור אתחול מאובטח ומבלי ליצור חתימות חדשות עבור הקרנל, shim, grub2 ו-fwupd.

נקודות תורפה שזוהו:

• CVE-2020-14372 – באמצעות הפקודה acpi ב-GRUB2, משתמש מיוחס במערכת המקומית יכול לטעון טבלאות ACPI ששונו על ידי הצבת SSDT (טבלת תיאור מערכת משנית) בספריית /boot/efi ושינוי הגדרות ב-grub.cfg. למרות שמצב אתחול מאובטח פעיל, ה-SSDT המוצע יבוצע על ידי הליבה וניתן להשתמש בו כדי להשבית את הגנת LockDown שחוסמת נתיבי עקיפת UEFI Secure Boot. כתוצאה מכך, תוקף יכול להשיג טעינה של מודול הליבה שלו או קוד ריצה דרך מנגנון kexec, מבלי לבדוק את החתימה הדיגיטלית.
• CVE-2020-25632 הוא גישה לזיכרון ללא שימוש לאחר שימוש ביישום הפקודה rmmod, המתרחשת כאשר נעשה ניסיון לפרוק מודול כלשהו מבלי לקחת בחשבון את התלות הקשורות אליו. הפגיעות אינה שולל יצירת ניצול שעלול להוביל לביצוע קוד עוקף אימות אתחול מאובטח.
• CVE-2020-25647 כתיבה מחוץ לתחום בפונקציה grub_usb_device_initialize() הנקראת בעת אתחול התקני USB. ניתן לנצל את הבעיה על ידי חיבור התקן USB שהוכן במיוחד המייצר פרמטרים שגודלם אינו מתאים לגודל המאגר המוקצה למבני USB. תוקף יכול להשיג ביצוע של קוד שאינו מאומת באתחול מאובטח על ידי מניפולציה של התקני USB.
• CVE-2020-27749 הוא גלישת מאגר בפונקציה grub_parser_split_cmdline() אשר יכולה להיגרם על ידי ציון משתנים גדולים מ-2 KB בשורת הפקודה GRUB1. הפגיעות מאפשרת לביצוע קוד לעקוף את אתחול מאובטח.
• CVE-2020-27779 – הפקודה cutmem מאפשרת לתוקף להסיר מגוון כתובות מהזיכרון כדי לעקוף את האתחול המאובטח.
• CVE-2021-3418 - שינויים ב-shim_lock יצרו וקטור נוסף כדי לנצל את הפגיעות של השנה שעברה CVE-2020-15705. על ידי התקנת האישור המשמש לחתימה על GRUB2 ב-dbx, GRUB2 אפשר לטעון כל ליבה ישירות מבלי לאמת את החתימה.
• CVE-2021-20225 - אפשרות לכתיבת נתונים מחוץ לתחום בעת הפעלת פקודות עם מספר רב מאוד של אפשרויות.
• CVE-2021-20233 - אפשרות לכתיבת נתונים מחוץ לתחום עקב חישוב שגוי של גודל מאגר בעת שימוש במירכאות. בעת חישוב הגודל, הונחה כי נדרשו שלוש תווים כדי לברוח ממרכאה בודדת, כאשר למעשה נדרשו ארבעה.

מקור: OpenNet.ru