UEFI セキュア ブートのバイパスを可能にする GRUB2 の修正が困難な脆弱性

GRUB8 ブートローダーの 2 件の脆弱性に関する情報が公開されました。これらの脆弱性により、UEFI セキュア ブート メカニズムをバイパスし、未検証のコードが実行される可能性があります。たとえば、ブートローダーまたはカーネル レベルで実行されるマルウェアが実装されます。

ほとんどの場合、 LinuxUEFIセキュアブートモードで検証済みブートを使用するディストリビューションは、Microsoftによってデジタル署名された小さなシムレイヤーを使用します。このレイヤーは独自の証明書を使用してGRUB2を検証するため、ディストリビューション開発者はカーネルとGRUBのアップデートごとにMicrosoftに通知する必要がなくなります。GRUB2の脆弱性により、シム検証が成功した後、オペレーティングシステムが起動する前に任意のコードを実行できます。これにより、セキュアブートが有効になっている場合、攻撃者は信頼チェーンを突破し、別のOSの起動、オペレーティングシステムコンポーネントの変更、ロックダウン保護のバイパスなど、その後のブートプロセスを完全に制御できるようになります。

昨年のBootHole脆弱性と同様に、ブートローダーを更新するだけではこの問題は解決しません。攻撃者は、オペレーティングシステムの種類に関係なく、古い脆弱なデジタル署名付きGRUB2バージョンを含むブートメディアを使用してUEFIセキュアブートを侵害できるからです。この問題はUEFI失効リスト（DBX）を更新することによってのみ解決できますが、これにより古いインストールメディアの使用ができなくなります。 Linux.

失効証明書のリストが更新されたファームウェアを搭載したシステムでは、更新されたディストリビューションビルドのみがUEFIセキュアブートモードで起動できます。 Linuxディストリビューションは、インストーラー、ブートローダー、カーネルパッケージ、fwupdファームウェア、およびシムレイヤーを更新し、それらの新しいデジタル署名を生成する必要があります。ユーザーは、インストールイメージやその他の起動可能なメディアを更新し、失効証明書のリスト（dbx）をUEFIファームウェアにロードする必要があります。UEFIのdbxが更新されるまで、OSの更新に関係なくシステムは脆弱なままです。脆弱性修正の状況は、次のページで確認できます。 UbuntuSUSE、RHEL、 Debian.

失効した証明書配布時に発生する問題を解決するために、将来的にはGRUB2、shim、fwupdでサポートが実装されているSBAT（UEFI Secure Boot Advanced Targeting）機構を利用する予定で、次回アップデートより対応予定です。 dbxtool パッケージによって提供される機能の代わりに使用されます。 SBAT は Microsoft と共同開発され、メーカー、製品、コンポーネント、バージョン情報を含む新しいメタデータを UEFI コンポーネントの実行可能ファイルに追加します。指定されたメタデータはデジタル署名で証明されており、UEFI セキュア ブートの許可または禁止コンポーネントのリストに追加で含めることができます。したがって、SBAT を使用すると、セキュア ブート用のキーを再生成したり、カーネル、shim、grub2、および fwupd の新しい署名を生成したりすることなく、失効中にコンポーネントのバージョン番号を操作できます。

特定された脆弱性:

• CVE-2020-14372 – GRUB2 の acpi コマンドを使用すると、ローカル システムの特権ユーザーは、SSDT (セカンダリ システム記述テーブル) を /boot/efi ディレクトリに配置し、grub.cfg の設定を変更することで、変更された ACPI テーブルをロードできます。セキュア ブート モードはアクティブですが、提案された SSDT はカーネルによって実行され、UEFI セキュア ブート バイパス パスをブロックする LockDown 保護を無効にするために使用できます。その結果、攻撃者はデジタル署名をチェックせずに、kexec メカニズムを通じてカーネル モジュールのロードやコードの実行を実行できます。
• CVE-2020-25632 は、rmmod コマンドの実装における use-after-free メモリ アクセスであり、モジュールに関連付けられた依存関係を考慮せずにモジュールをアンロードしようとすると発生します。この脆弱性は、セキュア ブート検証をバイパスしてコードを実行する可能性のあるエクスプロイトの作成を排除するものではありません。
• CVE-2020-25647 USB デバイスの初期化時に呼び出される grub_usb_device_initialize() 関数の範囲外書き込み。この問題は、USB 構造に割り当てられたバッファのサイズに対応しないサイズのパラメータを出力する、特別に用意された USB デバイスを接続することによって悪用される可能性があります。攻撃者は USB デバイスを操作することで、セキュア ブートで検証されていないコードを実行する可能性があります。
• CVE-2020-27749 は、grub_parser_split_cmdline() 関数におけるバッファ オーバーフローであり、GRUB2 コマンド ラインで 1 KB を超える変数を指定することによって発生する可能性があります。この脆弱性により、コード実行によりセキュア ブートがバイパスされる可能性があります。
• CVE-2020-27779 – Cutmem コマンドを使用すると、攻撃者がメモリからアドレス範囲を削除してセキュア ブートをバイパスできるようになります。
• CVE-2021-3418 - shim_lock への変更により、昨年の脆弱性 CVE-2020-15705 を悪用する追加のベクターが作成されました。 GRUB2 の署名に使用される証明書を dbx にインストールすることにより、GRUB2 は署名を検証せずに任意のカーネルを直接ロードできるようになりました。
• CVE-2021-20225 - 非常に多くのオプションを指定してコマンドを実行すると、範囲外のデータが書き込まれる可能性があります。
• CVE-2021-20233 - 引用符を使用した場合のバッファ サイズの計算が正しくないため、データが範囲外に書き込まれる可能性があります。サイズを計算する際、一重引用符をエスケープするには XNUMX 文字が必要であると想定されましたが、実際には XNUMX 文字が必要でした。

出所： オープンネット.ru