Macluumaadka ayaa la shaaciyay ilaa 8 dayacan oo ku jira bootloader-ka GRUB2, kaas oo kuu oggolaanaya inaad ka gudubto habka UEFI Secure Boot oo aad socodsiiso kood aan la xaqiijin, tusaale ahaan, hirgeli malware ku socda bootloader ama heerka kernel.
Aan dib u xasuusanno in inta badan qaybinta Linux, si loo xaqiijiyo bootinta qaabka UEFI Secure Boot, lakab yar oo shim ah ayaa la isticmaalay, si dhijitaal ah u saxeexday Microsoft. Lakabkani wuxuu xaqiijiyaa GRUB2 shahaado u gaar ah, taasoo u oggolaanaysa soo-saareyaasha qaybinta inaysan haysan kernel iyo GRUB kasta oo ay shahaado siiso Microsoft. Nuglaanta GRUB2 waxay kuu ogolaaneysaa inaad ku guulaysato fulinta koodhkaaga marxaladda ka dib xaqiijinta shimka ee lagu guulaysto, laakiin ka hor inta aanad rakibin nidaamka qalliinka, ku dheji silsiladda kalsoonida marka habka Secure Boot uu firfircoon yahay oo uu si buuxda u xakameynayo habka bootinta dheeraadka ah, oo ay ku jiraan raritaanka OS kale, wax ka beddelka nidaamka qaybaha nidaamka hawlgalka iyo ka gudubka ilaalinta Lockdown.
Sida nuglaanta BootHole ee sannadkii hore, cusboonaysiinta bootloader kuma filna in ay xannibto dhibaatada, maaddaama weeraryahan, iyadoon loo eegin nidaamka hawlgalka ee la isticmaalo, uu isticmaali karo warbaahinta bootable ee duug ah, dhijitaal ahaan saxeexan, nooca nugul ee GRUB2 si uu u wiiqo UEFI Secure Boot. Dhibaatada waxa kaliya oo lagu xalin karaa iyada oo la cusboonaysiinayo liiska ka noqoshada shahaadada (dbx, UEFI List of Revocation), laakiin kiiskan awoodda isticmaalka warbaahinta rakibaadda hore ee Linux waa la lumin doonaa.
Nidaamyada firmware-ka leh ee leh liiska dib-u-noqoshada shahaadada, kaliya dhismooyinka la cusboonaysiiyay ee qaybinta Linux ayaa lagu rari karaa qaabka UEFI Secure Boot. Qaybinta waxay u baahan doontaa inay cusboonaysiiso rakibayaasha, bootloaders, xirmooyinka kernel, fwupd firmware iyo lakabka shim, taasoo u dhalinaysa saxiixyo dhijitaal ah oo cusub. Isticmaalayaasha waxaa looga baahan doonaa inay cusboonaysiiyaan sawirada rakibaadda iyo warbaahinta kale ee la kicin karo, iyo sidoo kale inay ku shubaan liiska ka noqoshada shahaadada (dbx) UEFI firmware. Kahor inta aan la cusboonaysiin dbx ilaa UEFI, nidaamku weli wuu nugul yahay iyada oo aan loo eegin rakibaadda cusboonaysiinta ee OS. Heerka dayacanka waxaa lagu qiimeyn karaa boggagan: Ubuntu, SUSE, RHEL, Debian.
Si loo xaliyo mashaakilaadka ka dhasha qeybinta shahaadooyinka la buriyay, mustaqbalka waxaa la qorsheeyay in la isticmaalo habka SBAT (UEFI Secure Boot Advanced Targeting), taageero kaas oo loo hirgeliyay GRUB2, shim iyo fwupd, laga bilaabo cusbooneysiinta soo socota ayaa noqon doonta. loo isticmaalo halkii ay ka shaqayn lahayd xirmada dbxtool. SBAT waxaa si wadajir ah loo sameeyay Microsoft waxayna ku lug leedahay ku darista xog badan oo cusub faylasha la fulin karo ee qaybaha UEFI, oo ay ku jiraan macluumaadka ku saabsan soo saaraha, badeecada, qaybta iyo nooca. Xogta badan ee la cayimay waxa lagu shahaadeeyay saxeex dhijitaal ah waxaana intaa dheer lagu dari karaa liisaska la ogol yahay ama qaybaha la mamnuucay ee UEFI Secure Boot. Markaa, SBAT waxay kuu oggolaanaysaa inaad wax ka beddesho lambarrada nooca qaybta inta lagu jiro burinta iyada oo aan loo baahnayn in dib loo soo nooleeyo furayaasha Secure Boot iyo adoon samaynin saxeexyo cusub kernel, shim, grub2 iyo fwupd.
Nuglaanta la aqoonsaday:
- CVE-2020-14372 - Adeegsiga amarka acpi ee GRUB2, isticmaale mudnaan leh ee nidaamka maxalliga ah wuxuu ku shuban karaa miisaska ACPI ee la beddelay isagoo gelinaya SSDT (Shaxda Sharaxaada Nidaamka Labaad) ee /boot/efi directory iyo beddelidda dejinta grub.cfg. In kasta oo habka Boot Secure uu firfircoon yahay, SSDT-da la soo jeediyay waxaa fulin doona kernel-ka waxaana loo isticmaali karaa in lagu joojiyo ilaalinta LockDown ee xannibaysa waddooyinka UEFI Secure Boot bypass. Natiijo ahaan, weeraryahanku wuxuu gaari karaa raritaanka moduleka kernel-ka ama koodhka ku socodsiinta habka kexec, isaga oo aan hubin saxiixa dhijitaalka ah.
- CVE-2020-25632 waa isticmaalka-ka-dib-u-helitaanka xusuusta bilaashka ah ee hirgelinta amarka rmmod, kaas oo dhaca marka la isku dayo in la dejiyo nooc kasta iyada oo aan la tixgalinayn ku tiirsanaanta la xiriirta. Nuglaanta kama saarayso abuurista ka faa'iidaysiga taas oo horseedi karta fulinta kood ka gudubta xaqiijinta Boot Sugan.
- CVE-2020-25647 Xadka ka baxsan ku qor shaqada grub_usb_device_initialize() ee loo yaqaan marka la bilaabayo aaladaha USB. Dhibaatada waxaa laga faa'iidaysan karaa iyada oo la isku xidho qalab USB ah oo si gaar ah loo diyaariyey kaas oo soo saara cabbiro kuwaas oo cabbirkoodu aanu u dhigmin cabbirka kaydka loo qoondeeyey qaababka USB. Weeraryahanku waxa uu ku guulaysan karaa fulinta koodka aan lagu xaqiijinin Secure Boot isaga oo isticmaalaya qalabka USB.
- CVE-2020-27749 waa qulqulka qulqulaya ee shaqada grub_parser_split_cmdline (), kaas oo ay sababi karto qeexida doorsoomayaasha ka weyn 2 KB ee khadka taliska GRUB1. Nuglaanta waxay u ogolaataa fulinta koodka inay dhaafto Boot Sugan.
- CVE-2020-27779 - Amarka cutmem wuxuu u oggolaanayaa weeraryahan inuu ka saaro cinwaanno badan oo xusuusta ah si uu uga gudbo Secure Boot.
- CVE-2021-3418 - Isbeddelada shim_lock waxa ay abuureen vector dheeraad ah si looga faa'iidaysto nuglaanta sanadkii hore CVE-2020-15705. Ku rakibida shahaadada loo isticmaalay in lagu saxeexo GRUB2 dbx, GRUB2 waxay ogolaatay kernel kasta in si toos ah loo raro iyada oo aan la xaqiijin saxeexa.
- CVE-2021-20225 - Suurtagalnimada qorista xogta xadka ka baxsan marka la wado amarrada leh tiro aad u badan oo ikhtiyaari ah.
- CVE-2021-20233 - Suurtagalnimada qorista xogta ee ka baxsan xadka sababtoo ah xisaabinta cabbirka kaydka ee khaldan marka la isticmaalayo xigashooyin. Marka la xisaabinayo cabbirka, waxaa loo qaatay in saddex xaraf looga baahan yahay inay ka baxsadaan hal oraah, markii dhab ahaantii afar loo baahan yahay.
Source: opennet.ru