Athari mbili katika GRUB2 zinazokuruhusu kukwepa ulinzi wa UEFI Secure Boot

Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.

Udhaifu uliotambuliwa:

• CVE-2022-2601 — переполнение буфера в функции grub_font_construct_glyph() при обработке специально оформленных шрифтов в формате pf2, возникающее из-за неверного расчёта параметра max_glyph_size и выделения области памяти, заведомо меньшей, чем необходимо для размещения глифов.
• CVE-2022-3775 — запись за пределы выделенной области памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием должных проверок соответствия ширины и высоты глифа размеру имеющейся битовой карты. Атакующий может подобрать ввод таким образом, чтобы вызвать запись хвоста данных на пределами выделенного буфера. Отмечается, что несмотря на сложность эксплуатации уязвимости, доведение проблемы до выполнения кода не исключается.

Исправление опубликовано в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Fedora, Debian. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, потребуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

Usambazaji mwingi wa Linux hutumia safu ndogo ya shim iliyotiwa saini kidijitali na Microsoft kwa uanzishaji uliothibitishwa katika hali ya UEFI Secure Boot. Safu hii huthibitisha GRUB2 kwa cheti chake chenyewe, ambacho huruhusu wasanidi programu wa usambazaji kutokuwa na kila kernel na sasisho la GRUB lililoidhinishwa na Microsoft. Udhaifu katika GRUB2 hukuruhusu kufikia utekelezaji wa nambari yako katika hatua baada ya uthibitishaji wa shim uliofaulu, lakini kabla ya kupakia mfumo wa uendeshaji, kuingia kwenye msururu wa uaminifu wakati hali ya Kuanzisha Salama inapotumika na kupata udhibiti kamili wa mchakato zaidi wa kuwasha, ikijumuisha kupakia OS nyingine, kurekebisha mfumo wa vipengele vya mfumo wa uendeshaji na bypass ulinzi wa Lockdown.

Ili kuzuia hatari bila kubatilisha saini ya dijiti, ugawaji unaweza kutumia utaratibu wa SBAT (UEFI Secure Boot Advanced Targeting), ambao unatumika kwa GRUB2, shim na fwupd katika usambazaji maarufu wa Linux. SBAT iliundwa kwa pamoja na Microsoft na inahusisha kuongeza metadata ya ziada kwa faili zinazoweza kutekelezeka za vipengele vya UEFI, vinavyojumuisha maelezo kuhusu mtengenezaji, bidhaa, sehemu na toleo. Metadata iliyobainishwa imeidhinishwa kwa saini ya dijiti na inaweza kujumuishwa kando katika orodha za vipengee vinavyoruhusiwa au visivyoruhusiwa vya UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

Chanzo: opennet.ru