GRUB2 ievainojamības, kas ļauj apiet UEFI Secure Boot

GRUB2 sāknēšanas ielādētājā ir novērstas 7 ievainojamības, kas ļauj apiet UEFI Secure Boot mehānismu un palaist nepārbaudītu kodu, piemēram, ieviest ļaunprātīgu programmatūru, kas darbojas sāknēšanas ielādētāja vai kodola līmenī. Turklāt starplikas slānī ir viena ievainojamība, kas arī ļauj apiet UEFI Secure Boot. Ievainojamību grupai tika dots kodētais nosaukums Boothole 3, līdzīgi kā līdzīgām problēmām, kas iepriekš tika identificētas sāknēšanas ielādētājā.

Lai novērstu problēmas GRUB2 un shim, izplatījumi varēs izmantot SBAT (UEFI Secure Boot Advanced Targeting) mehānismu, kas tiek atbalstīts GRUB2, shim un fwupd. SBAT tika izstrādāts kopīgi ar Microsoft, un tas ietver papildu metadatu pievienošanu UEFI komponentu izpildāmajiem failiem, kas ietver informāciju par ražotāju, produktu, komponentu un versiju. Norādītie metadati ir sertificēti ar ciparparakstu, un tos var atsevišķi iekļaut UEFI Secure Boot atļauto vai aizliegto komponentu sarakstos.

Lielākajā daļā Linux izplatījumu tiek izmantots mazs starplikas slānis, ko Microsoft ir digitāli parakstījis, lai pārbaudītu sāknēšanu UEFI drošās sāknēšanas režīmā. Šis slānis pārbauda GRUB2 ar savu sertifikātu, kas ļauj izplatīšanas izstrādātājiem neļaut katram kodolam un GRUB atjauninājumam Microsoft sertificēt. GRUB2 ievainojamības ļauj sasniegt jūsu koda izpildi stadijā pēc veiksmīgas shim verifikācijas, bet pirms operētājsistēmas ielādes, ieslēdzoties uzticības ķēdē, kad drošās sāknēšanas režīms ir aktīvs un iegūstot pilnīgu kontroli pār turpmāko sāknēšanas procesu, t.sk. citas operētājsistēmas ielāde, operētājsistēmas komponentu sistēmas modificēšana un bloķēšanas aizsardzības apiešana.

Lai novērstu problēmas sāknēšanas ielādētājā, izplatīšanām būs jāizveido jauni iekšējie ciparparaksti un jāatjaunina instalētāji, sāknēšanas ielādētāji, kodola pakotnes, fwupd programmaparatūra un shim slānis. Pirms SBAT ieviešanas sertifikātu atsaukšanas saraksta (dbx, UEFI atsaukšanas saraksta) atjaunināšana bija priekšnoteikums, lai pilnībā bloķētu ievainojamību, jo uzbrucējs neatkarīgi no izmantotās operētājsistēmas varēja izmantot sāknēšanas datu nesēju ar vecu, ievainojamu GRUB2 versiju, sertificēts ar ciparparakstu, lai apdraudētu UEFI Secure Boot .

Tā vietā, lai atsauktu parakstu, SBAT ļauj bloķēt tā izmantošanu atsevišķiem komponentu versiju numuriem, neatsaucot drošās sāknēšanas atslēgas. Lai bloķētu ievainojamības, izmantojot SBAT, nav jāizmanto UEFI sertifikātu atsaukšanas saraksts (dbx), bet tas tiek veikts iekšējās atslēgas aizstāšanas līmenī, lai ģenerētu parakstus un atjauninātu GRUB2, shim un citus izplatījumu nodrošinātos sāknēšanas artefaktus. Pašlaik SBAT atbalsts jau ir pievienots populārākajiem Linux izplatījumiem.

Identificētās ievainojamības:

• CVE-2021-3696, CVE-2021-3695 ir kaudzes bufera pārpildes, apstrādājot īpaši izstrādātus PNG attēlus, kurus teorētiski var izmantot, lai izpildītu uzbrucēja kodu un apietu UEFI Secure Boot. Tiek atzīmēts, ka problēmu ir grūti izmantot, jo, lai izveidotu funkcionālu izmantošanu, ir jāņem vērā liels skaits faktoru un informācijas pieejamība par atmiņas izkārtojumu.
• CVE-2021-3697 — bufera nepietiekamība JPEG attēla apstrādes kodā. Problēmas izmantošanai ir nepieciešamas zināšanas par atmiņas izkārtojumu, un tā ir aptuveni tādā pašā sarežģītības līmenī kā PNG problēma (CVSS 7.5).
• CVE-2022-28733 — vesela skaitļa pārpilde funkcijā grub_net_recv_ip4_packets() ļauj ietekmēt parametru rsm->total_len, nosūtot īpaši izveidotu IP paketi. Problēma ir atzīmēta kā visbīstamākā no piedāvātajām ievainojamībām (CVSS 8.1). Ja tā tiek veiksmīgi izmantota, ievainojamība ļauj rakstīt datus ārpus bufera robežas, piešķirot apzināti mazāku atmiņas apjomu.
• CVE-2022-28734 — viena baita bufera pārpilde, apstrādājot noņemtās HTTP galvenes. Parsējot īpaši izstrādātus HTTP pieprasījumus, problēma var izraisīt GRUB2 metadatu bojājumus (nulles baita ierakstīšana tūlīt pēc bufera beigām).
• CVE-2022-28735 Problēma shim_lock pārbaudītājā ļauj ielādēt failu bez kodola. Ievainojamību var izmantot, lai ielādētu neparakstītus kodola moduļus vai nepārbaudītu kodu UEFI drošās sāknēšanas režīmā.
• CVE-2022-28736 Jau atbrīvota piekļuve atmiņai funkcijā grub_cmd_chainloader(), izmantojot ķēdes ielādes komandas atkārtotu izpildi, ko izmanto, lai palaistu operētājsistēmas, kuras neatbalsta GRUB2. Izmantošana var izraisīt uzbrucēja koda izpildi, ja uzbrucējs spēj noteikt atmiņas sadalījumu GRUB2.
• CVE-2022-28737 — bufera pārpilde starplikas slānī notiek funkcijā handle_image(), ielādējot un izpildot izstrādātus EFI attēlus.

Avots: opennet.ru