Dalawang kahinaan sa GRUB2 na nagbibigay-daan sa iyong i-bypass ang proteksyon ng UEFI Secure Boot

Раскрыты сведения о двух уязвимостях в загрузчике GRUB2, которые могут привести к выполнению кода при использовании специально оформленных шрифтов и обработке определённых Unicode-последовательностей. Уязвимости могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot.

Natukoy na mga kahinaan:

• CVE-2022-2601 — переполнение буфера в функции grub_font_construct_glyph() при обработке специально оформленных шрифтов в формате pf2, возникающее из-за неверного расчёта параметра max_glyph_size и выделения области памяти, заведомо меньшей, чем необходимо для размещения глифов.
• CVE-2022-3775 — запись за пределы выделенной области памяти при отрисовке некоторых последовательностей Unicode специально оформленным шрифтом. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием должных проверок соответствия ширины и высоты глифа размеру имеющейся битовой карты. Атакующий может подобрать ввод таким образом, чтобы вызвать запись хвоста данных на пределами выделенного буфера. Отмечается, что несмотря на сложность эксплуатации уязвимости, доведение проблемы до выполнения кода не исключается.

Исправление опубликовано в виде патча. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Fedora, Debian. Для устранения проблем в GRUB2 недостаточно просто обновить пакет, потребуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку.

Karamihan sa mga distribusyon ng Linux ay gumagamit ng maliit na shim layer na digital na nilagdaan ng Microsoft para sa na-verify na pag-boot sa UEFI Secure Boot mode. Bine-verify ng layer na ito ang GRUB2 gamit ang sarili nitong certificate, na nagpapahintulot sa mga developer ng pamamahagi na hindi magkaroon ng bawat kernel at GRUB update na na-certify ng Microsoft. Ang mga kahinaan sa GRUB2 ay nagbibigay-daan sa iyo upang makamit ang pagpapatupad ng iyong code sa yugto pagkatapos ng matagumpay na pag-verify ng shim, ngunit bago i-load ang operating system, wedging sa chain of trust kapag aktibo ang Secure Boot mode at pagkakaroon ng ganap na kontrol sa karagdagang proseso ng boot, kabilang ang naglo-load ng isa pang OS, binabago ang operating system na mga bahagi ng system at i-bypass ang proteksyon ng Lockdown.

Upang harangan ang kahinaan nang hindi binabawi ang digital na lagda, maaaring gamitin ng mga distribusyon ang mekanismo ng SBAT (UEFI Secure Boot Advanced Targeting), na sinusuportahan para sa GRUB2, shim at fwupd sa pinakasikat na mga distribusyon ng Linux. Ang SBAT ay binuo nang magkasama sa Microsoft at nagsasangkot ng pagdaragdag ng karagdagang metadata sa mga executable na file ng mga bahagi ng UEFI, na kinabibilangan ng impormasyon tungkol sa tagagawa, produkto, bahagi at bersyon. Ang tinukoy na metadata ay na-certify gamit ang isang digital na lagda at maaaring hiwalay na isama sa mga listahan ng pinapayagan o ipinagbabawal na mga bahagi para sa UEFI Secure Boot.

SBAT позволяет блокировать использование цифровой подписи для отдельных номеров версий компонентов без необходимости отзыва ключей для Secure Boot. Блокирование уязвимостей через SBAT не требует использования списка отозванных сертификатов UEFI (dbx), а производится на уровне замены внутреннего ключа для формирования подписей и обновления GRUB2, shim и других поставляемых дистрибутивами загрузочных артефактов. До внедрения SBAT, обновление списка отозванных сертификатов (dbx, UEFI Revocation List) было обязательным условием полного блокирования уязвимости, так как атакующий, независимо от используемой операционной системы, мог для компрометации UEFI Secure Boot использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью.

Pinagmulan: opennet.ru