Те откриха две уязвимости в GRUB2

Преди няколко дни беше пусната информация за повреда което беше открито в контролера, осигуряващ работа с NTFS файлова система в GRUB2 буутлоудър, каталогизиран под CVE-2023-4692.

Уязвимост се дължи на грешка в кода за анализ на NTFS атрибут, който може да се използва за записване на контролирана от потребителя информация в област от паметта извън разпределения буфер. При обработка на специално изработено NTFS изображение, препълването води до презаписване на част от паметта на GRUB и също така, при определени условия, да повредите областта на паметта на фърмуера на UEFI, което потенциално ви позволява да организирате изпълнението на вашия код на ниво буутлоудър или фърмуер.

Споменава се, че уязвимостта позволява на злонамерено лице да изпълни код на ниво буутлоудър при достъп до специално създадено изображение на файлова система. Уязвимостта може да се използва за заобикаляне на проверения механизъм за зареждане на UEFI Secure Boot.

Здравейте всички,

Този комплект корекции съдържа пакет от корекции за няколко открити пропуска в сигурността в кода на GRUB2 NTFS драйвер наскоро. Най-сериозният, тоест потенциално експлоатируеми, имат присвоен CVE.

Пълното смекчаване срещу всички CVE ще изисква актуализация с най-новия SBAT
(Разширено насочване за защитено зареждане). Този път списъкът за анулиране на UEFI (dbx) няма да се използва и повреденият списък ще бъде отменен.

Проблемът с този тип уязвимости в GRUB2 е, че те позволяват да се постигне изпълнение на код на етапа след успешна проверка, но преди зареждане на операционната система, влизане във веригата на доверие, когато режимът на защитено зареждане е активен и придобиване на пълен контрол върху последващите процес на зареждане.

За да блокирате уязвимостта без отмяна на цифровия подпис, се споменава, че дистрибуциите могат да използват механизма SBAT (UEFI Secure Boot Advanced Targeting), който поддържа GRUB2, shim и fwupd.

За тези, които не са наясно с механизма SBAT, трябва да знаете, че той е разработен съвместно с Microsoft и включва добавяне на допълнителни метаданни към изпълнимите файлове на UEFI компонентите, включително информация за производителя, продукта, компонента и версията. Посочените метаданни са сертифицирани с цифров подпис и могат да бъдат включени отделно в списъците с разрешени или забранени компоненти за UEFI Secure Boot.

Ето защо механизмът SBAT ви позволява да блокирате използването на цифрови подписи за отделни номера на версията на компонента, без да се налага да отменяте ключове за защитено зареждане. Блокирането на уязвимости чрез SBAT не изисква използването на списък за анулиране на UEFI сертификати (dbx), но се извършва на ниво замяна на вътрешния ключ за генериране на подписи и актуализиране на GRUB2, shim и други артефакти за зареждане, предоставени от дистрибуциите.

В допълнение към тази уязвимост, се споменава, че е идентифицирана и друга уязвимост (CVE-2023-4693) в GRUB2 NTFS драйвер, което позволява четене на съдържанието на произволна област на паметта чрез анализиране на атрибута "$DATA" в специално създадено NTFS изображение. Освен всичко друго, уязвимостта позволява извличане на чувствителни данни, кеширани в паметта, или определяне на стойностите на EFI променливи.

Засега Проблемите са решени само с кръпка, въпреки че за решаване на проблемите в GRUB2 не е достатъчно да актуализирате пакета; Трябва също така да генерирате нови вътрешни цифрови подписи и да актуализирате инсталаторите, зареждащите програми, пакетите на ядрото, фърмуера на fwupd и shim слоя.

Повечето Linux дистрибуции използват малък пластичен слой, цифрово подписан от Microsoft, за проверено зареждане в режим UEFI Secure Boot. Този слой проверява GRUB2 със собствен сертификат, което позволява на разработчиците на дистрибуция да не имат всяко ядро ​​и актуализация на GRUB, сертифицирани от Microsoft.

И накрая, Ако се интересувате да научите повече за това, Можете да проверите състоянието на елиминирането на уязвимости в дистрибуции, които могат да бъдат оценени на тези страници: Debian, Ubuntu, SUSE, RHEL y Fedora.