🥇פגיעויות ב-GRUB2 המאפשרות לך לעקוף את UEFI Secure Boot

2 פגיעויות תוקנו במטען האתחול GRUB7 המאפשרות לך לעקוף את מנגנון האתחול המאובטח של UEFI ולהפעיל קוד לא מאומת, למשל, להציג תוכנות זדוניות הפועלות ברמת האתחול או רמת הקרנל. בנוסף, ישנה פגיעות אחת בשכבת ה-shim, המאפשרת לך גם לעקוף את UEFI Secure Boot. קבוצת הפגיעות קיבלה את שם הקוד Boothole 3, בדומה לבעיות דומות שזוהו בעבר ב-bootloader.

כדי לפתור בעיות ב-GRUB2 וב-shim, הפצות יוכלו להשתמש במנגנון SBAT (UEFI Secure Boot Advanced Targeting), אשר נתמך עבור GRUB2, shim ו-fwupd. SBAT פותחה במשותף עם מיקרוסופט וכוללת הוספת מטא נתונים נוספים לקבצי ההפעלה של רכיבי UEFI, הכוללים מידע על היצרן, המוצר, הרכיב והגרסה. המטא נתונים שצוינו מאושרים בחתימה דיגיטלית וניתן לכלול אותם בנפרד ברשימות של רכיבים מותרים או אסורים עבור UEFI Secure Boot.

רוב ההפצות של לינוקס משתמשות בשכבת shim קטנה החתומה דיגיטלית על ידי מיקרוסופט לאתחול מאומת במצב UEFI Secure Boot. שכבה זו מאמתת את GRUB2 עם תעודה משלה, מה שמאפשר למפתחי הפצה לא לקבל אישור לכל ליבה ועדכון GRUB על ידי מיקרוסופט. פגיעויות ב-GRUB2 מאפשרות לך להשיג את ביצוע הקוד שלך בשלב שלאחר אימות shim מוצלח, אך לפני טעינת מערכת ההפעלה, היצמדות לשרשרת האמון כאשר מצב Secure Boot פעיל וקבלת שליטה מלאה על תהליך האתחול הנוסף, כולל טעינת מערכת הפעלה אחרת, שינוי מערכת רכיבי מערכת ההפעלה ועקוף הגנת נעילה.

כדי לתקן בעיות ב-bootloader, הפצות יצטרכו ליצור חתימות דיגיטליות פנימיות חדשות ולעדכן מתקיני אתחול, מטעני אתחול, חבילות ליבה, קושחה fwupd ושכבת shim. לפני הצגת SBAT, עדכון רשימת ביטולי האישורים (dbx, UEFI Revocation List) היה תנאי מוקדם לחסימת הפגיעות לחלוטין, שכן תוקף, ללא קשר למערכת ההפעלה שבה נעשה שימוש, יכול להשתמש במדיה ניתנת לאתחול עם גרסה ישנה ופגיעה של GRUB2, מאושר על ידי חתימה דיגיטלית, כדי לסכן את UEFI Secure Boot .

במקום לבטל חתימה, SBAT מאפשר לך לחסום את השימוש בה עבור מספרי גרסאות של רכיבים בודדים מבלי שתצטרך לבטל את המפתחות עבור אתחול מאובטח. חסימת נקודות תורפה באמצעות SBAT אינה מצריכה שימוש ברשימת ביטולי אישורי UEFI (dbx), אלא מבוצעת ברמת החלפת המפתח הפנימי ליצירת חתימות ועדכון GRUB2, shim וחפצי אתחול אחרים המסופקים על ידי הפצות. נכון לעכשיו, תמיכת SBAT כבר נוספה לרוב ההפצות הפופולריות של לינוקס.

נקודות תורפה שזוהו:

CVE-2021-3696, CVE-2021-3695 הם גלישות חיץ מבוססות ערימות בעת עיבוד תמונות PNG שתוכננו במיוחד, אשר תיאורטית ניתן להשתמש בהן לביצוע קוד תוקף ולעקוף את UEFI Secure Boot. יצוין שהבעיה קשה לניצול, שכן יצירת ניצול עובד דורשת לקחת בחשבון מספר רב של גורמים וזמינות המידע על פריסת הזיכרון.
CVE-2021-3697 - זרימת חיץ בקוד עיבוד תמונה JPEG. ניצול הנושא דורש ידע בפריסת הזיכרון והוא בערך באותה רמת מורכבות כמו בעיית ה-PNG (CVSS 7.5).
CVE-2022-28733 - גלישת מספרים שלמים בפונקציה grub_net_recv_ip4_packets() מאפשרת להשפיע על הפרמטר rsm->total_len על ידי שליחת חבילת IP בעלת מבנה מיוחד. הנושא מסומן כמסוכן ביותר מבין הפגיעויות המוצגות (CVSS 8.1). אם מנוצלת בהצלחה, הפגיעות מאפשרת לכתוב נתונים מעבר לגבול המאגר על ידי הקצאת גודל זיכרון קטן יותר בכוונה.
CVE-2022-28734 - גלישת מאגר של בתים בודדים בעת עיבוד כותרות HTTP מופשטות. בעיה עלולה לגרום לפגיעה במטא-נתונים של GRUB2 (כתיבת byte null מיד לאחר סיום המאגר) בעת ניתוח בקשות HTTP בעלות מבנה מיוחד.
CVE-2022-28735 בעיה במאמת shim_lock מאפשרת טעינת קבצים שאינם הליבה. ניתן להשתמש בפגיעות כדי לטעון מודולי ליבה לא חתומים או קוד לא מאומת במצב UEFI Secure Boot.
CVE-2022-28736 גישת זיכרון משוחררת כבר בפונקציה grub_cmd_chainloader() באמצעות הפעלה חוזרת של פקודת chainloader, המשמשת לאתחול מערכות הפעלה שאינן נתמכות על ידי GRUB2. ניצול עלול לגרום לביצוע קוד תוקף אם התוקף מסוגל לקבוע הקצאת זיכרון ב-GRUB2
CVE-2022-28737 - גלישת חיץ בשכבת ה-shim מתרחשת בפונקציה handle_image() בעת טעינה וביצוע של תמונות EFI מעוצבות.

מקור: OpenNet.ru

פגיעויות ב-GRUB2 שיכולות לעקוף את UEFI Secure Boot

הוספת תגובה ביטול תגובה