Пропусти во GRUB2 кои ви дозволуваат да го заобиколите UEFI Secure Boot

Поправени се 2 пропусти во подигнувачот GRUB7 кои ви дозволуваат да го заобиколите механизмот за безбедно подигање UEFI и да извршите непроверен код, на пример, да имплементирате малициозен софтвер што работи на ниво на подигнувач или кернел. Дополнително, постои една ранливост во слојот на шим, кој исто така ви овозможува да го заобиколите UEFI Secure Boot. Групата пропусти беше со кодно име Boothole 3, слично на слични проблеми претходно идентификувани во подигнувачот.

За решавање проблеми во GRUB2 и шим, дистрибуциите ќе можат да го користат механизмот SBAT (UEFI Secure Boot Advanced Targeting), кој е поддржан за GRUB2, shim и fwupd. SBAT беше развиен заедно со Microsoft и вклучува додавање дополнителни метаподатоци во извршните датотеки на компонентите на UEFI, кои вклучуваат информации за производителот, производот, компонентата и верзијата. Наведените метаподатоци се сертифицирани со дигитален потпис и можат посебно да бидат вклучени во списоците на дозволени или забранети компоненти за UEFI Secure Boot.

Повеќето дистрибуции на Линукс користат мал обичен слој дигитално потпишан од Microsoft за потврдено подигање во режимот UEFI Secure Boot. Овој слој го потврдува GRUB2 со свој сертификат, кој им овозможува на развивачите на дистрибуција да немаат секое кернел и ажурирање на GRUB сертифицирано од Microsoft. Ранливостите во GRUB2 ви овозможуваат да го постигнете извршувањето на вашиот код во фазата по успешната проверка на шим, но пред да го вчитате оперативниот систем, да се вклопите во синџирот на доверба кога режимот за безбедно подигање е активен и да стекнете целосна контрола врз понатамошниот процес на подигање, вклучително и вчитување на друг оперативен систем, менување на системот за компоненти на оперативниот систем и заобиколување на заштитата од заклучување.

За да се поправат проблемите во подигнувачот, дистрибуциите ќе треба да создадат нови внатрешни дигитални потписи и да ажурираат инсталатери, подигнувачи, пакети на јадрото, фирмверот fwupd и слојот на шим. Пред воведувањето на SBAT, ажурирањето на списокот за отповикување сертификати (dbx, UEFI Revocation List) беше предуслов за целосно блокирање на ранливоста, бидејќи напаѓачот, без оглед на користениот оперативен систем, може да користи бутабилен медиум со стара ранлива верзија на GRUB2. сертифициран со дигитален потпис, за да се компромитира UEFI Secure Boot .

Наместо да го отповикате потписот, SBAT ви овозможува да ја блокирате неговата употреба за поединечни броеви на верзии на компоненти без да мора да ги отповикате копчињата за безбедно подигање. Блокирањето на пропустите преку SBAT не бара употреба на листа за отповикување сертификати UEFI (dbx), туку се врши на ниво на замена на внатрешниот клуч за генерирање потписи и ажурирање на GRUB2, шим и други артефакти за подигање обезбедени од дистрибуциите. Во моментов, поддршката за SBAT веќе е додадена на најпопуларните дистрибуции на Linux.

Идентификувани пропусти:

• CVE-2021-3696, CVE-2021-3695 се прелевања на бафер базирани на куп при обработка на специјално дизајнирани PNG слики, кои теоретски може да се користат за извршување на кодот на напаѓачот и заобиколување на UEFI Secure Boot. Забележано е дека проблемот е тешко да се искористи, бидејќи создавањето на работна експлоатација бара да се земат предвид голем број фактори и достапноста на информации за распоредот на меморијата.
• CVE-2021-3697 - Прелив на бафер во кодот за обработка на слики JPEG. Искористувањето на проблемот бара познавање на распоредот на меморијата и е на приближно исто ниво на сложеност како и проблемот со PNG (CVSS 7.5).
• CVE-2022-28733 - Прелевање на цел број во функцијата grub_net_recv_ip4_packets() овозможува да се влијае на параметарот rsm->total_len со испраќање на специјално изработен IP пакет. Прашањето е означено како најопасно од презентираните ранливости (CVSS 8.1). Доколку е успешно искористена, ранливоста дозволува податоците да се запишуваат надвор од границата на баферот со намерно доделување помала големина на меморијата.
• CVE-2022-28734 - Прелевање на баферот од еден бајт при обработка на одземени HTTP заглавија. Проблем може да предизвика оштетување на метаподатоците на GRUB2 (пишување нула бајт веднаш по завршувањето на баферот) кога се анализираат специјално изработените HTTP барања.
• CVE-2022-28735 Проблем во верификаторот shim_lock дозволува вчитување на датотека без јадро. Ранливоста може да се користи за вчитување на непотпишани модули на кернелот или непроверен код во режимот UEFI Secure Boot.
• CVE-2022-28736. Експлоатацијата може да резултира со извршување на кодот на напаѓачот ако напаѓачот може да ја одреди распределбата на меморијата во GRUB2
• CVE-2022-28737 - Прелевање на баферот во слојот на шим се јавува во функцијата handle_image() при вчитување и извршување на изработени EFI слики.

Извор: opennet.ru