Matthew Garrett, moqapi ea tummeng oa kernel Linux, ea kileng a fumana khau ho tsoa ho Free Software Foundation bakeng sa monehelo oa hae nts'etsopele ea software ea mahala, o buile ka bohlokoa ba mokhoa oa SBAT (Secure Boot Advanced Targeting), o entsoeng ho thibela bofokoli ho bootloader ntle le ho hlakola saena ea dijithale, hammoho le karolo ea eona ketsahalong ea morao tjena ka ntlafatso ea Windows, которое привело к прекращению загрузки некоторых дистрибутивов Linux, установленных параллельно с Windows на системах с включённым UEFI Secure Boot. Если кратко, то виноваты, как компания Microsoft, которая не в полной мере протестировала обновление и применила его к системам, к которым оно не должно было применяться, так и разработчики некоторых дистрибутивов Linux, которые не обновили загрузчик GRUB и номер поколения SBAT, когда в GRUB были обнаружены уязвимости.
Ka tlase ke phetolelo ea lengolo la Garrett:
Ha tlhaloso ea UEFI Secure Boot e ntse e ntlafatsoa, barupeluoa bohle ba eona e ne e le, ha re re, ba sa tsebe letho. Mohlala oa mantlha oa ts'ireletso ea Secure Boot ke hore khoutu eohle e tsamaeang sebakeng se lehlohonolo boemong ba kernel e tlameha ho netefatsoa pele e etsoa - firmware e netefatsa bootloader, bootloader e netefatsa kernel, kernel e netefatsa khoutu efe kapa efe e eketsehileng ea kernel e kentsoeng ka nako ea ho sebetsa, 'me joale re na le tikoloho e tšeptjoang ea ho qobella pholisi efe kapa efe ea tšireletso eo re e batlang. Ho hlakile hore batho ba ka etsa liphoso, empa tlhaloso e fane ka mokhoa oa ho hlakola likarolo tse saenneng tse fumanoeng li sa tšepahale: feela eketsa hashe ea khoutu e sa tšepahaleng ho feto-fetoha, ebe u hana ho kenya ntho leha e le efe ka hashe eo, le haeba e ne e le joalo. saena ka senotlolo se tšeptjoang.
К сожалению, как выяснилось, проблема в масштабе. Каждый дистрибутив Linux, работающий в экосистеме Secure Boot, генерирует собственные двоичные файлы загрузчика, и у каждого из них свой хэш. Если в исходном коде такого загрузчика обнаружена уязвимость, то необходимо отозвать большое количество различных двоичных файлов. А объем памяти для хранения переменной, содержащей все эти хэши, ограничен. Просто не хватит места, чтобы добавлять новый набор хэшей каждый раз, когда оказывается, что GRUB (загрузчик, изначально написанный во времена, когда не практиковалась защита загрузки, и имеющий несколько отдельных парсеров img-образов, а также парсер шрифтов) имеет ещё один механизм для атакующего, чтобы заставить его выполнить произвольный код, поэтому потребовалось другое решение.
Tharollo eo e ne e le SBAT. Khopolo e akaretsang ea SBAT e bonolo haholo. Karolo e 'ngoe le e' ngoe ea bohlokoa ka har'a ketane ea boot e phatlalatsa moloko oa tšireletso o kenyelelitsoeng ho binary e saenneng. Ha ts'oaetso e fumanoa le ho lokisoa, moloko ona oa eketseha. Joale ho ka fanoa ka ntlafatso e hlalosang moloko o fokolang - likarolo tsa boot li tla sheba ntho e latelang ka ketane, li bapise lebitso la eona le nomoro ea moloko le tse bolokiloeng ho firmware variable, 'me u nke qeto ea hore na e tla e phetha kapa che ho latela seo. . Sebakeng sa ho hlakola palo e kholo ea li-hashes ka bomong, o ka fana ka ntlafatso e le 'ngoe e reng feela, "Mofuta ofe kapa ofe oa GRUB o nang le moloko oa ts'ireletso o ka tlase ho palo ena o nkuoa o sa tšepahale."
Почему же это вдруг стало актуальным? SBAT был разработан совместно сообществом Linux и Microsoft, и Microsoft решила выпустить обновление для Windows, которое говорило системам не доверять версиям GRUB с поколением безопасности ниже определённого уровня. Это было сделано потому, что эти версии GRUB имели реальные уязвимости в безопасности, которые позволяли злоумышленникам нарушить цепочку безопасной загрузки Windows, и мы видели реальные примеры вредоносного ПО, которое хотело сделать это (Black Lotus использовал уязвимость в загрузчике Windows, но уязвимость в GRUB была настолько же эффективной). Если смотреть на это чисто с точки зрения безопасности, это вполне законное желание.
Теперь что касается сообщения «Что-то совсем пошло не так» и невозможности загрузки в результате этого обновления. Его выводит shim, а не от какой-то код от Microsoft. Shim учитывает обновления SBAT, и, чтобы не нарушать принципы безопасности, принятые другими загрузчиками в системе, и, хотя и Microsoft выпустила обновление SBAT, именно загрузчик Linux в результате отказывается запускать старые версии GRUB. Все работает так, как и должно.
Проблема, с которой люди столкнулись, заключается в том, что несколько дистрибутивов Linux не выпустили версии GRUB с более новым поколением безопасности, и поэтому эти версии GRUB считаются небезопасными (стоит отметить, что GRUB подписывается самими дистрибутивами, а не Microsoft, поэтому здесь нет никакого привнесённого извне отставания). По замыслу Microsoft, обновление Windows Update должно было применять обновление SBAT только к системам, работающим только с Windows, а любые установки с двойной загрузкой оставались бы уязвимыми для атак до тех пор, пока установленный дистрибутив не обновит GRUB и не обновит поколение SBAT. К сожалению, как теперь очевидно, это не сработало так, как было задумано, и, по крайней мере, некоторые системы с двойной загрузкой применили обновление, а Shim этого дистрибутива отказался загружать GRUB этого дистрибутива.
В чем итог? Microsoft (по понятным причинам) не хотела, чтобы Windows можно было атаковать с помощью уязвимой версии GRUB, которую можно было бы обманом заставить выполнить произвольный код, а затем внедрить буткит в ядро Windows во время загрузки. Microsoft сделала это, выпустив обновление Windows, которое обновило переменную SBAT, указав, что уязвимые версии GRUB не должны загружаться на этих системах. Предоставленный дистрибутивом Shim загрузчик первого этапа считывал эту переменную, считывал раздел SBAT из установленной копии GRUB, понимал, что они конфликтуют, и отказывался загружать grub с сообщением «Что-то совсем пошло не так». Это обновление не должно было применяться к системам с двойной загрузкой, но все равно применялось.
Ka kakaretso:
1) Microsoft e sebelisitse ntjhafatso ho litsamaiso tseo e neng e sa lokela ho sebetsa ho tsona.
2) Некоторые дистрибутивы Linux не обновили загрузчик GRUB и поколение безопасности SBAT, когда в GRUB были обнаружены уязвимости.
Ka lebaka leo, batho ba bang ha ba khone ho qala tsamaiso ea bona. Ke nahana hore ho na le batho ba bangata ba molato mona. Microsoft e ne e lokela hore ebe e entse liteko tse ngata ho netefatsa hore lisebelisoa tse peli tsa boot li ka fumanoa ka nepo. Empa liphatlalatso tse fanang ka li-bootloader tse saennoeng li hloka ho etsa bonnete ba hore lia li nchafatsa le ho ntlafatsa moloko oa ts'ireletso hore li tsamaisane, hobane ho seng joalo li fana ka vector ea tlhaselo e ka sebelisoang ho senya lits'ebetso tse ling, 'me ke mofuta oa tlolo ea konteraka ea sechaba e e potileng. kaofela.
Ka bomalimabe, bahlaseluoa mona haholo-holo ke basebelisi ba ho qetela ba tobaneng le taba ea hore tsamaiso ka tšohanyetso e hana ho laela OS eo ba batlang ho e kenya. Sena ha sea lokela ho etsahala le ka mohla. Ha ke nahane ho botsa basebelisi ba ho qetela hore na ba batla liapdeite tsa Secure Boot li tla fana ka sephetho se setle, mme leha ke ntse ke na le tšekamelo ea ho nahana hore UEFI Secure Boot ha se ntho e ruisang basebelisi ba ho qetela molemo, hape ke ntho eo u e etsang. 'Ke batla ho tseba ka mor'a liketsahalo tse kang tsena, ke ka lebaka leo ke utloelang bohloko ka hore e nolofalloe ka ho sa feleng, kahoo ke tšehetsa hore e nolofalloe ke kamehla, le ho arolelana khetho ea Microsoft, ntle le boiteko bo malimabe ba ho qoba ho nchafatsa litsamaiso tse peli tsa boot.
В любом случае, я был сильно вовлечён в реализацию этого механизма для Linux в 2012 году и написал первый прототип Shim (который сейчас является значительно лучшим загрузчиком, поддерживаемым более широким кругом людей, и к которому я не прикасался уже несколько лет), так что если вы хотите обвинить кого-то одного, пожалуйста, не стесняйтесь обвинять меня. Это то, чего не должно было случиться, и если вы не Microsoft или дистрибутив Linux, то это не ваша вина. Прошу прощения.
Source: opennet.ru
