Grūti labojamas GRUB2 ievainojamības, kas ļauj apiet UEFI Secure Boot

Ir atklāta informācija par 8 ievainojamībām GRUB2 sāknēšanas ielādētājā, kas ļauj apiet UEFI Secure Boot mehānismu un palaist nepārbaudītu kodu, piemēram, ieviest ļaunprātīgu programmatūru, kas darbojas sāknēšanas ielādētāja vai kodola līmenī.

Atcerēsimies, ka lielākajā daļā Linux izplatījumu pārbaudītai sāknēšanai UEFI Secure Boot režīmā tiek izmantots neliels starplikas slānis, ko Microsoft parakstījis ciparparaksts. Šis slānis pārbauda GRUB2 ar savu sertifikātu, kas ļauj izplatīšanas izstrādātājiem neļaut katram kodolam un GRUB atjauninājumam Microsoft sertificēt. GRUB2 ievainojamības ļauj sasniegt jūsu koda izpildi stadijā pēc veiksmīgas shim verifikācijas, bet pirms operētājsistēmas ielādes, ieslēdzoties uzticības ķēdē, kad drošās sāknēšanas režīms ir aktīvs un iegūstot pilnīgu kontroli pār turpmāko sāknēšanas procesu, t.sk. citas operētājsistēmas ielāde, operētājsistēmas komponentu sistēmas modificēšana un bloķēšanas aizsardzības apiešana.

Tāpat kā ar pagājušā gada BootHole ievainojamību, ar sāknēšanas ielādētāja atjaunināšanu nepietiek, lai bloķētu problēmu, jo uzbrucējs neatkarīgi no izmantotās operētājsistēmas var izmantot sāknējamu datu nesēju ar vecu, digitāli parakstītu, ievainojamu GRUB2 versiju, lai apdraudētu UEFI Secure Boot. Problēmu var atrisināt tikai atjauninot sertifikātu atsaukšanas sarakstu (dbx, UEFI Revocation List), taču šajā gadījumā tiks zaudēta iespēja izmantot veco instalācijas datu nesēju ar Linux.

Sistēmās ar programmaparatūru, kurai ir atjaunināts sertifikātu atsaukšanas saraksts, UEFI drošās sāknēšanas režīmā var ielādēt tikai atjauninātas Linux izplatījumu versijas. Izplatījumiem būs jāatjaunina instalētāji, sāknēšanas ielādētāji, kodola pakotnes, fwupd programmaparatūra un shim slānis, ģenerējot tiem jaunus ciparparakstus. Lietotājiem būs jāatjaunina instalācijas attēli un citi sāknēšanas datu nesēji, kā arī jāielādē sertifikātu atsaukšanas saraksts (dbx) UEFI programmaparatūrā. Pirms dbx atjaunināšanas uz UEFI, sistēma joprojām ir neaizsargāta neatkarīgi no atjauninājumu instalēšanas operētājsistēmā. Ievainojamību statusu var novērtēt šajās lapās: Ubuntu, SUSE, RHEL, Debian.

Problēmu risināšanai, kas rodas, izplatot atsauktos sertifikātus, turpmāk plānots izmantot SBAT (UEFI Secure Boot Advanced Targeting) mehānismu, kura atbalsts ir ieviests priekš GRUB2, shim un fwupd un sākot ar nākamajiem atjauninājumiem izmanto dbxtool pakotnes nodrošinātās funkcionalitātes vietā. SBAT tika izstrādāts kopīgi ar Microsoft, un tas ietver jaunu metadatu pievienošanu UEFI komponentu izpildāmajiem failiem, kas ietver informāciju par ražotāju, produktu, komponentu un versiju. Norādītie metadati ir sertificēti ar ciparparakstu un papildus var tikt iekļauti UEFI Secure Boot atļauto vai aizliegto komponentu sarakstos. Tādējādi SBAT ļaus atsaukšanas laikā manipulēt ar komponentu versiju numuriem bez nepieciešamības atjaunot atslēgas drošai sāknēšanai un neģenerējot jaunus parakstus kodolam, shim, grub2 un fwupd.

Identificētās ievainojamības:

• CVE-2020-14372 — izmantojot GRUB2 komandu acpi, priviliģēts lietotājs lokālajā sistēmā var ielādēt modificētas ACPI tabulas, ievietojot SSDT (sekundārās sistēmas apraksta tabulu) direktorijā /boot/efi un mainot iestatījumus failā grub.cfg. Lai gan drošās sāknēšanas režīms ir aktīvs, ierosināto SSDT izpildīs kodols, un to var izmantot, lai atspējotu LockDown aizsardzību, kas bloķē UEFI drošās sāknēšanas apiešanas ceļus. Tā rezultātā uzbrucējs var ielādēt savu kodola moduli vai palaist kodu, izmantojot kexec mehānismu, nepārbaudot ciparparakstu.
• CVE-2020-25632 ir izmantošana pēc brīvas atmiņas, ieviešot komandu rmmod, kas rodas, kad tiek mēģināts izlādēt jebkuru moduli, neņemot vērā ar to saistītās atkarības. Ievainojamība neizslēdz ļaunprātīgas izmantošanas izveidi, kas var izraisīt koda izpildi, apejot drošās sāknēšanas verifikāciju.
• CVE-2020-25647 Ārpus robežām rakstīšana funkcijā grub_usb_device_initialize(), kas tiek izsaukta, inicializējot USB ierīces. Problēmu var izmantot, pieslēdzot speciāli sagatavotu USB ierīci, kas ražo parametrus, kuru izmērs neatbilst USB struktūrām atvēlētā bufera izmēram. Uzbrucējs var panākt tāda koda izpildi, kas nav pārbaudīts drošajā sāknēšanas režīmā, manipulējot ar USB ierīcēm.
• CVE-2020-27749 ir ​​bufera pārpilde funkcijā grub_parser_split_cmdline(), ko var izraisīt, GRUB2 komandrindā norādot mainīgos, kas ir lielāki par 1 KB. Ievainojamība ļauj koda izpildei apiet drošo sāknēšanu.
• CVE-2020-27779 — komanda cutmem ļauj uzbrucējam noņemt no atmiņas virkni adrešu, lai apietu drošo sāknēšanu.
• CVE-2021-3418 — izmaiņas shim_lock radīja papildu vektoru, lai izmantotu pagājušā gada ievainojamību CVE-2020-15705. Instalējot sertifikātu, ko izmanto GRUB2 parakstīšanai vietnē dbx, GRUB2 ļāva ielādēt jebkuru kodolu tieši, nepārbaudot parakstu.
• CVE-2021-20225 — iespēja rakstīt ārpus robežām datus, izpildot komandas ar ļoti lielu opciju skaitu.
• CVE-2021-20233 — iespēja rakstīt datus ārpus robežām nepareiza bufera lieluma aprēķina dēļ, izmantojot pēdiņas. Aprēķinot izmēru, tika pieņemts, ka ir nepieciešamas trīs rakstzīmes, lai izvairītos no vienas pēdiņas, lai gan patiesībā bija vajadzīgas četras rakstzīmes.

Avots: opennet.ru