UEFI 보안 부팅을 우회할 수 있는 GRUB2의 취약점

UEFI 보안 부팅 메커니즘을 우회하고 확인되지 않은 코드를 실행할 수 있는 GRUB2 부트로더의 7가지 취약점이 수정되었습니다. 예를 들어, 부트로더 또는 커널 수준에서 실행되는 맬웨어를 도입합니다. 또한 shim 계층에는 UEFI 보안 부팅을 우회할 수 있는 취약점이 하나 있습니다. 취약점 그룹은 이전에 부트로더에서 식별된 유사한 문제와 유사한 코드명 Boothole 3으로 지정되었습니다.

GRUB2 및 shim의 문제를 해결하기 위해 배포판은 GRUB2, shim 및 fwupd에서 지원되는 SBAT(UEFI Secure Boot Advanced Targeting) 메커니즘을 사용할 수 있습니다. SBAT는 Microsoft와 공동으로 개발되었으며 제조업체, 제품, 구성 요소 및 버전에 대한 정보를 포함하는 UEFI 구성 요소의 실행 파일에 추가 메타데이터를 추가하는 작업이 포함됩니다. 지정된 메타데이터는 디지털 서명으로 인증되며 UEFI 보안 부팅에 허용되거나 금지되는 구성 요소 목록에 별도로 포함될 수 있습니다.

대부분의 Linux 배포판은 UEFI 보안 부팅 모드에서 자체 검사 부팅을 위해 Microsoft에서 디지털 서명한 작은 심 레이어를 사용합니다. 이 계층은 자체 인증서로 GRUB2를 확인하므로 배포 개발자가 Microsoft에서 인증한 모든 커널 및 GRUB 업데이트를 갖지 않도록 할 수 있습니다. GRUB2의 취약점을 사용하면 심 검증에 성공한 후 단계에서 코드를 실행할 수 있지만 운영 체제를 로드하기 전에 보안 부팅 모드가 활성화되면 신뢰 체인에 고정되어 다음을 포함한 추가 부팅 프로세스에 대한 완전한 제어권을 얻을 수 있습니다. 다른 OS를 로드하고, 운영 체제 구성 요소를 수정하고, 잠금 보호를 우회합니다.

부트로더의 문제를 해결하려면 배포판에서 새로운 내부 디지털 서명을 생성하고 설치 프로그램, 부트로더, 커널 패키지, fwupd 펌웨어 및 shim 레이어를 업데이트해야 합니다. SBAT가 도입되기 전에는 공격자가 사용하는 운영 체제에 관계없이 이전 취약한 GRUB2 버전이 포함된 부팅 가능한 미디어를 사용할 수 있었기 때문에 인증서 해지 목록(dbx, UEFI Revocation List)을 업데이트하는 것이 취약점을 완전히 차단하기 위한 전제 조건이었습니다. UEFI 보안 부팅을 손상시키기 위해 디지털 서명으로 인증되었습니다.

서명을 취소하는 대신 SBAT를 사용하면 보안 부팅을 위한 키를 취소하지 않고도 개별 구성 요소 버전 번호에 대한 사용을 차단할 수 있습니다. SBAT를 통한 취약점 차단에는 UEFI 인증서 해지 목록(dbx)을 사용할 필요가 없지만 내부 키를 교체하여 서명을 생성하고 배포판에서 제공되는 GRUB2, shim 및 기타 부팅 아티팩트를 업데이트하는 수준에서 수행됩니다. 현재 가장 널리 사용되는 Linux 배포판에는 SBAT 지원이 이미 추가되었습니다.

확인된 취약점:

• CVE-2021-3696, CVE-2021-3695는 특별히 설계된 PNG 이미지를 처리할 때 발생하는 힙 기반 버퍼 오버플로로, 이론적으로 공격자 코드를 실행하고 UEFI 보안 부팅을 우회하는 데 사용될 수 있습니다. 제대로 작동하는 익스플로잇을 생성하려면 많은 요소와 메모리 레이아웃에 대한 정보의 가용성을 고려해야 하기 때문에 문제를 익스플로잇하기가 어렵습니다.
• CVE-2021-3697 - JPEG 이미지 처리 코드의 버퍼 언더플로우입니다. 이 문제를 악용하려면 메모리 레이아웃에 대한 지식이 필요하며 PNG 문제(CVSS 7.5)와 거의 동일한 수준의 복잡성을 갖습니다.
• CVE-2022-28733 - grub_net_recv_ip4_packets() 함수의 정수 오버플로로 인해 특별히 제작된 IP 패킷을 전송하여 rsm->total_len 매개변수가 영향을 받을 수 있습니다. 이 문제는 제시된 취약점 중 가장 위험한 것으로 표시됩니다(CVSS 8.1). 악용에 성공하면 취약점을 통해 의도적으로 더 작은 메모리 크기를 할당하여 버퍼 경계를 넘어 데이터를 쓸 수 있습니다.
• CVE-2022-28734 - 제거된 HTTP 헤더를 처리할 때 단일 바이트 버퍼 오버플로가 발생합니다. 특수하게 조작된 HTTP 요청을 구문 분석할 때 문제로 인해 GRUB2 메타데이터 손상(버퍼 끝 바로 뒤에 널 바이트 쓰기)이 발생할 수 있습니다.
• CVE-2022-28735 shim_lock 검증 프로그램의 문제로 인해 커널이 아닌 파일 로드가 허용됩니다. 이 취약점은 UEFI 보안 부팅 모드에서 서명되지 않은 커널 모듈이나 확인되지 않은 코드를 로드하는 데 사용될 수 있습니다.
• CVE-2022-28736 GRUB2에서 지원하지 않는 운영 체제를 부팅하는 데 사용되는 chainloader 명령의 재실행을 통해 grub_cmd_chainloader() 함수에서 이미 해제된 메모리 액세스입니다. 공격자가 GRUB2에서 메모리 할당을 결정할 수 있는 경우 악용으로 인해 공격자 코드가 실행될 수 있습니다.
• CVE-2022-28737 - 제작된 EFI 이미지를 로드하고 실행할 때 handler_image() 함수에서 shim 레이어의 버퍼 오버플로가 발생합니다.

출처 : opennet.ru