Nedávno Byly vydány informace o 8 zranitelnostech v zavaděči GRUB2Že umožňuje obejít mechanismus zabezpečeného spouštění UEFI a spustit neověřený kódnapříklad k injektování malwaru, který běží na úrovni bootloaderu nebo jádra.
Nezapomeňte, že ve většině distribucí Linuxu se pro ověřené spuštění v zabezpečeném režimu UEFI používá malá kompenzační vrstva certifikovaná digitálním podpisem společnosti Microsoft.
Tato vrstva ověřuje GRUB2 proti svému vlastnímu certifikátu, což umožňuje vývojářům necertifikovat každé jádro GRUB a aktualizovat na Microsoft.
S tím chyby zabezpečení v GRUB2 umožňují spuštění vašeho kódu ve fázi po ověření úspěšná náprava, ale předtím, než se načte operační systém, zapadne do řetězce důvěryhodnosti, když je zabezpečené spuštění aktivní, a získá plnou kontrolu nad následným procesem spouštění, včetně zavedení jiného operačního systému, upraví systém komponent operačního systému a obejde ochranný zámek .
Stejně jako v případě zranitelnosti BootHole z loňského roku, aktualizace bootloaderu nestačí k zablokování problémuJako útočník, bez ohledu na použitý operační systém, můžete ke spuštění zabezpečení UEFI Secure Boot použít zaváděcí médium se starou zranitelnou verzí GRUB2 certifikovanou digitálním podpisem.
Problém je vyřešen pouze aktualizací seznamu zrušených certifikátů (dbx, UEFI Revocation List), ale v tomto případě bude ztracena schopnost používat staré instalační médium s Linuxem.
V systémech s firmwarem, kde byl aktualizován seznam zrušených certifikátů, lze aktualizované sady distribucí Linux načíst pouze v režimu UEFI Secure Boot.
Distribuce budou muset aktualizovat instalační programy, zavaděče, balíčky jádra, firmware fwupd a kompenzační vrstvu generováním nových digitálních podpisů.
Uživatelé budou muset aktualizovat instalační obrazy a další spouštěcí média a stáhněte si seznam odvolaných certifikátů (dbx) do firmwaru UEFI. Až do aktualizace dbx v UEFI zůstane systém zranitelný bez ohledu na instalaci aktualizací v operačním systému.
Vyřešit odvozené problémy distribuce zrušených certifikátů, v budoucnu se plánuje použití mechanismu SBAT (UEFI Secure Boot Advanced Targeting), který nyní podporuje GRUB2, shim a fwupd a v budoucích aktualizacích nahradí funkce poskytované balíkem dbxtool. SBAT byl vyvinutý ve spolupráci s Microsoftem za účelem přidání nových metadat do spustitelných souborů komponent UEFI, které obsahují informace o výrobci, produktu, komponentě a verzi.
Z identifikovaných zranitelností:
- CVE-2020-14372- Pomocí příkazu acpi na GRUB2 může privilegovaný uživatel v místním systému načíst upravené tabulky ACPI umístěním SSDT (tabulka s popisem sekundárního systému) do adresáře / boot / efi a změnou nastavení v souboru grub.cfg.
- CVE-2020-25632: přístup do již uvolněné oblasti paměti (use-after-free) při implementaci příkazu rmmod, což se projeví při pokusu o stažení libovolného modulu bez zohlednění jeho souvisejících závislostí.
- CVE-2020-25647: Zrušte limity mezipaměti ve funkci grub_usb_device_initialize (), která se volá při inicializaci zařízení USB. Problém lze využít připojením speciálně připraveného zařízení USB, které generuje parametry, které neodpovídají velikosti vyrovnávací paměti přidělené pro struktury USB.
- CVE-2020-27749: přetečení vyrovnávací paměti v grub_parser_split_cmdline (), které může být způsobeno zadáním proměnných větších než 1 KB na příkazovém řádku GRUB2. Tato chyba zabezpečení by mohla umožnit spuštění kódu bez nutnosti procházet zabezpečeným spuštěním.
- CVE-2020-27779: Příkaz cutmem umožňuje útočníkovi odstranit řadu adres z paměti a obejít zabezpečené spuštění.
- CVE-2021-3418: Změny shim_lock vytvořily další vektor k využití loňské chyby zabezpečení CVE-2020-15705. Instalací certifikátu použitého k podpisu GRUB2 v dbx umožnil GRUB2 libovolnému jádru přímo se načíst bez ověření podpisu.
- CVE-2021-20225: schopnost zapisovat data z vyrovnávací paměti při provádění příkazů s velkým počtem možností.
- CVE-2021-20233: Schopnost zapisovat data z vyrovnávací paměti kvůli nesprávnému výpočtu velikosti vyrovnávací paměti při použití uvozovek. Při výpočtu velikosti se předpokládalo, že k úniku jedné citace jsou zapotřebí tři znaky, i když ve skutečnosti to trvá čtyři.
zdroj: https://ubuntu.com