ĂshtĂ« zbuluar informacioni pĂ«r 8 dobĂ«si nĂ« ngarkuesin GRUB2, qĂ« lejojnĂ« anashkalimin e mekanizmit UEFI Secure Boot dhe realizimin e ekzekutimit tĂ« kodit tĂ« pa-verifikuar, si p.sh., futjen e malware-it qĂ« operon nĂ« nivelin e ngarkuesit ose tĂ« bĂ«rthamorĂ«s.
Kujtojmë se në shumicën e shpërndarjeve Linux, për ngarkimin e verifikuar në modin UEFI Secure Boot përdoret një ndërfaqe e vogël shim, e cila është e çertifikuar me nënshkrimin digjital të Microsoft. Kjo ndërfaqe verifikon GRUB2 me certifikatën e saj, e cila lejon zhvilluesit e shpërndarjeve të mos e çertifikojnë çdo përditësim të bërthamës dhe GRUB në Microsoft. Dobësitë në GRUB2 lejojnë ekzekutimin e kodit të tij pas verifikimit të suksesshëm të shim, por para ngarkimit të sistemit operativ, duke u infiltruar në zinxhirin e besueshmërisë në mënyrë aktive të Secure Boot dhe duke marrë kontroll të plotë mbi procesin e ngarkimit, përfshirë ngarkimin e një sistemi tjetër operativ, modifikimin e komponenteve të sistemit operativ dhe anashkalimin e mbrojtjes Lockdown.
Si në rastin e vulnerabilitetit BootHole të vitit të kaluar, thjesht përditësimi i ngarkuesit nuk është i mjaftueshëm për të bllokuar problemin, pasi sulmuesi, pavarësisht nga sistemi operativ të përdorur, mund të përdorë një medium ngarkues me një version të vjetër të vulnerabël të GRUB2, të verifikuar me një nënshkrim digjital, për të komprometuar UEFI Secure Boot. Problemi zgjidhet vetëm me përditësimin e listës së certifikatave të revokuara (dbx, UEFI Revocation List), por në këtë rast do të humbasësh mundësinë e përdorimit të mediave të vjetra instalues c Linux.
Në sistemet me firmware në të cilat është përditësuar lista e certifikatave të tërhequra, në modalitetin UEFI Secure Boot do të jetë e mundur të ngarkohet vetëm versione të përditësuara të distribucioneve Linux. Distribucionet do të kenë nevojë të përditësojnë instaluesit, ngarkuesit, paketat e bërthamës, firmware fwupd dhe shtesat shim, duke gjeneruar për to nënshkrime dixhitale të reja. Përdoruesit duhet të përditësojnë imazhet instalues dhe mediat e tjera të ngarkimit, si dhe të ngarkojnë listën e certifikatave të tërhequra (dbx) në firmware UEFI. Deri në përditësimin e dbx në UEFI, sistemi mbetet i pambrojtur pavarësisht nga instalimi i përditësimeve në OS. Statusi i rregullimit të dobësive mund të vlerësohet në këto faqe: Ubuntu, SUSE, RHEL, Debian.
Për të zgjidhur problemet që lindin nga shpërndarja e certifikatave të tërhequra, në të ardhmen planifikohet përdorimi i mekanizmit SBAT (UEFI Secure Boot Advanced Targeting), mbështetje për të cilin është implementuar për GRUB2, shim dhe fwupd, dhe duke filluar nga përditësimet e ardhshme do të përdoret në vend të funksionalitetit të ofruar nga paketa dbxtool. SBAT është zhvilluar në bashkëpunim me Microsoft dhe përfshin shtimin e të dhënave të reja meta në skedarët ekzekutivë të përbërësve UEFI, të cilat përmbajnë informacion mbi prodhuesin, produktin, përbërësin dhe versionin. Të dhënat e përmendura janë të nënshkruara me një nënshkrim digital dhe mund të përfshihen gjithashtu në listat e përbërësve të lejuar ose të ndaluar për UEFI Secure Boot. Kështu, SBAT do të lejojë manipulimin e numrave të versioneve të përbërësve në rast të tërheqjeve, pa pasur nevojë për ripërpunimin e çelësave për Secure Boot dhe pa formimin e nënshkrimeve të reja për bërthamën, shim, grub2 dhe fwupd.
Vulnerabilitetet e identifikuara:
- CVE-2020-14372 â me anĂ« tĂ« komandĂ«s acpi nĂ« GRUB2, njĂ« pĂ«rdorues me privilegje i sistemit lokal mund tĂ« ngarkojĂ« tabela modifikimi ACPI duke vendosur SSDT (Tabela e PĂ«rshkrimit tĂ« Sistemit Sekondar) nĂ« katalogun /boot/efi dhe duke ndryshuar cilĂ«simet nĂ« grub.cfg. PavarĂ«sisht nga aktivizimi i mĂ«nyrĂ«s Secure Boot, SSDT i propozuar do tĂ« ekzekutohet nga bĂ«rthama dhe mund tĂ« pĂ«rdoret pĂ«r tĂ« çaktivizuar mbrojtjen LockDown, e cila bllokon rrugĂ«t pĂ«r tĂ« anashkaluar UEFI Secure Boot. Si rezultat, njĂ« sulmues mund tĂ« arrijĂ« ngarkimin e modulit tĂ« tij tĂ« bĂ«rthamĂ«s ose ekzekutimin e kodit pĂ«rmes mekanizmit kexec, pa verifikimin e nĂ«nshkrimit digjital.
- CVE-2020-25632 â njĂ« qasje nĂ« njĂ« zonĂ« tĂ« liruar tĂ« memories (use-after-free) nĂ« implementimin e komandĂ«s rmmod, e cila shfaqet gjatĂ« pĂ«rpjekjes pĂ«r tĂ« shkarkuar çdo modul pa marrĂ« parasysh varĂ«sitĂ« e lidhura me tĂ«. Kjo dobĂ«si nuk pĂ«rjashton krijimin e njĂ« eksploiti, i cili mund tĂ« çojĂ« nĂ« ekzekutimin e kodit pĂ«rtej verifikimit tĂ« Secure Boot.
- CVE-2020-25647 â shkrim jashtĂ« zonĂ«s sĂ« memories nĂ« funksionin grub_usb_device_initialize(), i cili thirret gjatĂ« inicializimit tĂ« pajisjeve USB. Problemi mund tĂ« shfrytĂ«zohet pĂ«rmes lidhjes sĂ« njĂ« pajisjeje USB tĂ« pĂ«rgatitur veçmas, qĂ« jep parametrat me madhĂ«si qĂ« nuk pĂ«rputhen me madhĂ«sinĂ« e memories tĂ« alokuar pĂ«r strukturat USB. NjĂ« sulmues mund tĂ« arrijĂ« ekzekutimin e kodit, pa u verifikuar nĂ« Secure Boot, nĂ«pĂ«rmjet manipulimeve me pajisjet USB.
- CVE-2020-27749 â mbushja e tepĂ«rt e zonĂ«s sĂ« memories nĂ« funksionin grub_parser_split_cmdline(), e cila mund tĂ« shkaktohet nga caktimi nĂ« komandĂ«n GRUB2 tĂ« variablave me mĂ« shumĂ« se 1 KB. Ky vakum lejon ekzekutimin e kodit pĂ«r tĂ« anashkaluar Secure Boot.
- CVE-2020-27779 â komandĂ«n cutmem i jep mundĂ«sinĂ« njĂ« sulmuesi tĂ« fshijĂ« njĂ« gamĂ« adresash nga memoria pĂ«r tĂ« anashkaluar Secure Boot.
- CVE-2021-3418 â ndryshimet nĂ« shim_lock krijuan njĂ« vektor tĂ« ri pĂ«r shfrytĂ«zimin e vulnerabilitetit tĂ« vitit tĂ« kaluar CVE-2020-15705. GjatĂ« instalimit tĂ« certifikatĂ«s nĂ« dbx, qĂ« pĂ«rdoret pĂ«r nĂ«nshkrimin e GRUB2, GRUB2 e lejonte ngarkimin e çdo bĂ«rthamĂ« direkt pa verifikimin e nĂ«nshkrimit.
- CVE-2021-20225 â mundĂ«sia e shkrimit tĂ« tĂ« dhĂ«nave jashtĂ« zonĂ«s sĂ« memories gjatĂ« ekzekutimit tĂ« komandave me njĂ« numĂ«r shumĂ« tĂ« madh opsionesh.
- CVE-2021-20233 â njĂ« mundĂ«si pĂ«r tĂ« shkruar tĂ« dhĂ«na jashtĂ« buffer-it pĂ«r shkak tĂ« njĂ« llogaritjeje tĂ« gabuar tĂ« madhĂ«sisĂ« sĂ« buffer-it gjatĂ« pĂ«rdorimit tĂ« thonjĂ«zave. NĂ« llogaritjen e madhĂ«sisĂ«, u supozua se ishin tĂ« nevojshme tre simbole pĂ«r tĂ« siguruar njĂ« thonjĂ«za tĂ« vetme, kur nĂ« tĂ« vĂ«rtetĂ« ishin tĂ« nevojshme katĂ«r.
Burimi: opennet.ru
