Тешко да се поправат пропусти во GRUB2 кои ви дозволуваат да го заобиколите UEFI Secure Boot

Објавени се информации за 8 пропусти во подигнувачот GRUB2, кои ви овозможуваат да го заобиколите механизмот за безбедно подигање UEFI и да извршите непроверен код, на пример, да имплементирате малициозен софтвер што работи на ниво на подигнувач или кернел.

Да потсетиме дека во повеќето дистрибуции на Linux, за потврдено подигање во режимот UEFI Secure Boot, се користи мал слој на шим, дигитално потпишан од Microsoft. Овој слој го потврдува GRUB2 со свој сертификат, кој им овозможува на развивачите на дистрибуција да немаат секое кернел и ажурирање на GRUB сертифицирано од Microsoft. Ранливостите во GRUB2 ви овозможуваат да го постигнете извршувањето на вашиот код во фазата по успешната проверка на шим, но пред да го вчитате оперативниот систем, да се вклопите во синџирот на доверба кога режимот за безбедно подигање е активен и да стекнете целосна контрола врз понатамошниот процес на подигање, вклучително и вчитување на друг оперативен систем, менување на системот за компоненти на оперативниот систем и заобиколување на заштитата од заклучување.

Како и со минатогодишната ранливост на BootHole, ажурирањето на подигнувачот не е доволно за да се блокира проблемот, бидејќи напаѓачот, без оглед на користениот оперативен систем, може да користи бутабилен медиум со стара, дигитално потпишана, ранлива верзија на GRUB2 за да го компромитира UEFI Secure Boot. Проблемот може да се реши само со ажурирање на списокот за отповикување сертификати (dbx, UEFI Revocation List), но во овој случај можноста за користење на стари инсталациски медиуми со Linux ќе се изгуби.

На системи со фирмвер што имаат ажурирана листа за отповикување сертификати, може да се вчитаат само ажурирани изданија на дистрибуции на Linux во режимот UEFI Secure Boot. Дистрибуциите ќе треба да ги ажурираат инсталаторите, подигнувачите, пакетите на кернелот, фирмверот fwupd и слојот на шим, генерирајќи нови дигитални потписи за нив. Од корисниците ќе се бара да ги ажурираат сликите за инсталација и другите подигнувачки медиуми, како и да вчитаат список за отповикување сертификати (dbx) во фирмверот на UEFI. Пред ажурирање на dbx на UEFI, системот останува ранлив без оглед на инсталацијата на ажурирања во ОС. Статусот на ранливостите може да се процени на овие страници: Ubuntu, SUSE, RHEL, Debian.

За да се решат проблемите што се јавуваат при дистрибуција на отповикани сертификати, во иднина се планира да се користи механизмот SBAT (UEFI Secure Boot Advanced Targeting), чија поддршка е имплементирана за GRUB2, shim и fwupd, а почнувајќи од следните ажурирања ќе биде се користи наместо функционалноста обезбедена од пакетот dbxtool. SBAT беше развиен заедно со Microsoft и вклучува додавање нови метаподатоци во извршните датотеки на компонентите на UEFI, кои вклучуваат информации за производителот, производот, компонентата и верзијата. Наведените метаподатоци се сертифицирани со дигитален потпис и може дополнително да бидат вклучени во списоците на дозволени или забранети компоненти за UEFI Secure Boot. Така, SBAT ќе ви овозможи да манипулирате со броевите на верзиите на компонентите за време на отповикувањето без потреба да ги регенерирате клучевите за Secure Boot и без да генерирате нови потписи за кернелот, shim, grub2 и fwupd.

Идентификувани пропусти:

• CVE-2020-14372 – Користејќи ја командата acpi во GRUB2, привилегиран корисник на локалниот систем може да вчита изменети ACPI табели со поставување на SSDT (табела за опис на секундарна систем) во директориумот /boot/efi и менување на поставките во grub.cfg. Иако режимот за безбедно подигање е активен, предложениот SSDT ќе биде извршен од кернелот и може да се користи за оневозможување на заштитата за заклучување што ги блокира патеките за бајпас на UEFI Secure Boot. Како резултат на тоа, напаѓачот може да постигне вчитување на неговиот модул на јадрото или да работи код преку механизмот kexec, без да го провери дигиталниот потпис.
• CVE-2020-25632 е пристап до меморија за користење после бесплатно при имплементацијата на командата rmmod, што се случува кога се прави обид да се истовари кој било модул без да се земат предвид зависностите поврзани со него. Ранливоста не го исклучува создавањето на експлоат што може да доведе до извршување на кодот заобиколувајќи ја потврдата за безбедно подигање.
• CVE-2020-25647 Запишување надвор од границите во функцијата grub_usb_device_initialize() се повикува при иницијализирање на USB-уреди. Проблемот може да се искористи со поврзување на специјално подготвен USB уред кој произведува параметри чија големина не одговара на големината на тампонот доделен за USB структури. Напаѓачот може да постигне извршување на код што не е потврден во Secure Boot со манипулирање со USB-уреди.
• CVE-2020-27749 е прелевање на баферот во функцијата grub_parser_split_cmdline(), што може да биде предизвикано со одредување на променливи поголеми од 2 KB на командната линија GRUB1. Ранливоста дозволува извршувањето на кодот да го заобиколи безбедното подигање.
• CVE-2020-27779 – Командата cutmem му дозволува на напаѓачот да отстрани опсег на адреси од меморијата за да го заобиколи безбедното подигање.
• CVE-2021-3418 - Промените на shim_lock создадоа дополнителен вектор за искористување на ранливоста од минатата година CVE-2020-15705. Со инсталирање на сертификатот што се користи за потпишување на GRUB2 во dbx, GRUB2 дозволи секое јадро да се вчита директно без да се потврди потписот.
• CVE-2021-20225 - Можност за пишување податоци надвор од границите при извршување на команди со многу голем број опции.
• CVE-2021-20233 - Можност за пишување податоци надвор од границите поради неправилна пресметка на големината на баферот при користење на наводници. При пресметувањето на големината, се претпоставуваше дека се потребни три знаци за да се избегне еден цитат, а всушност се потребни четири.

Извор: opennet.ru