Una vulnerabilitat a GRUB2 permetia ometre la verificació de contrasenya

Fa pocs dies es va donar a conèixer informació sobre una vulnerabilitat que va ser detectada en pegats per al carregador GRUB2 preparat per Red Hat. Catalogada ja baix CVE-2023-4001 la vulnerabilitat permet que molts sistemes amb UEFI ometin la verificació de contrasenya establerta al GRUB2 per restringir l'accés al menú d'inici oa la línia d'ordres del carregador d'inici.

Sobre la vulnerabilitat s'esmenta que aquesta es deu a un canvi agregat per Red Hat al paquet GRUB2 inclòs amb RHEL i Fedora, per la qual cosa el problema no apareix al projecte principal de GRUB2 i només afecta les distribucions que han aplicat aquests pegats addicionals subministrats per Red Hat.

I és que la funció de protecció amb contrasenya a GRUB si utilitza per salvaguardar les entrades del menú d'inici i l'intèrpret d'ordres de línia d'ordres de l'administrador d'inici del GRUB. Aquest mecanisme, quan està activat juntament amb una contrasenya BIOS/UEFI, protegeix els equips d'usuaris no autoritzats que intenten iniciar un altre sistema operatiu o escalar privilegis en un sistema operatiu instal·lat.

La configuració de la contrasenya a GRUB s'aconsegueix mitjançant dues ordres principals: “password” and “password_pbkdf2“. Aquestes ordres creen un usuari amb una contrasenya específica o el seu hash, i només aquells usuaris que figuren a la variable d'entorn superusers poden editar les entrades del menú d'inici i executar ordres a l'intèrpret d'ordres del GRUB.

El problema rau en un error a la lògica de com el carregador d'arrencada utilitza el UUID per trobar un dispositiu que contingui un fitxer de configuració amb contrasenya, com ara «/boot/efi/EFI/fedora/grub.cfg». Aquest error permet a un usuari amb accés físic a l'ordinador connectar una unitat externa, com ara una memòria USB, i configurar-la amb un UUID que coincideixi amb l'identificador de la partició d'inici/arrencada del sistema atacat.

En molts sistemes UEFI, les unitats externes es processen primer i es col·loquen a la llista de dispositius detectats abans que les unitats estacionàries. Per tant, la partició /boot preparada per l'atacant tindrà més prioritat de processament i GRUB2 intentarà carregar el fitxer de configuració des d'aquesta partició.

Quan utilitzeu l'ordre search a GRUB2 per localitzar una partició, només es determina la primera coincidència de UUID, aturant la cerca posterior. Si el fitxer de configuració principal no es troba en una partició en particular, GRUB2 emetrà un símbol del sistema, atorgant a lusuari control total sobre la resta del procés darrencada.

Els usuaris sense privilegis poden conèixer el valor UUID del volum «/boot», cosa que els permet potencialment explotar aquesta vulnerabilitat. En manipular la seqüència de dispositius de bloc durant l'arrencada, com ara la connexió d'una unitat extraïble amb un UUID duplicat, els usuaris poden eludir la protecció amb contrasenya del GRUB i accedir a l'intèrpret d'ordres sense autenticació.

La utilitat «lsblk» es pot utilitzar per determinar el UUID d'una partició per part d'un usuari local sense privilegis, però un usuari extern que no té accés al sistema però pot observar el procés d'arrencada pot, en algunes distribucions, determinar el UUID a partir del diagnòstic i els missatges que es mostren durant l'arrencada . Red Hat ha abordat la vulnerabilitat afegint un nou argument a l'ordre search que permet que l'operació d'escaneig UUID es vinculi només als dispositius de bloqueig utilitzats per executar l'administrador d'arrencada (és a dir, la partició /boot només ha de ser a la mateixa unitat com a partició del sistema EFI).

Un enfocament alternatiu (però no implementat) seria fer servir una cosa que no estigui exposada a usuaris sense privilegis com a signatura per ubicar el volum “/boot”. Podria ser un fitxer amb un nom aleatori que resideix en un directori amb permisos restringits.

Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls a el següent enllaç.