Van detectar dues vulnerabilitats a GRUB2

David Y. Naranjo

4 minuts

vulnerabilitat

Si s'exploten, aquestes falles poden permetre als atacants obtenir accés no autoritzat a informació confidencial o, en general, causar problemes

Es van donar a conèixer els detalls de dues vulnerabilitats al carregador d'arrencada GRUB2 que podrien conduir a l'execució de codi en utilitzar fonts especialment dissenyades i manejar certes seqüències Unicode.

S'esmenta que les vulnerabilitats detectades se poden utilitzar per ometre el mecanisme d'arrencada verificat UEFI Secure Boot. Les vulnerabilitats a GRUB2 permeten executar codi en l'etapa posterior a la verificació reeixida de shim, però abans de carregar el sistema operatiu, trencant la cadena de confiança amb el mode d'arrencada segura activa i obtenint control total sobre el procés d'arrencada posterior, per exemple, per iniciar un altre sistema operatiu, modificar els components del sistema operatiu i ometre la protecció de bloqueig.

Sobre les vulnerabilitats identificades, s'esmenta el següent:

  • CVE-2022-2601: un desbordament de memòria intermèdia a la funció grub_font_construct_glyph() en processar fonts especialment dissenyades en format pf2, que ocorre a causa del càlcul incorrecte del paràmetre max_glyph_size i l'assignació d'una àrea de memòria que és òbviament més petita del necessari per col·locar glifs.
  • CVE-2022-3775: escriptura fora dels límits en representar algunes seqüències Unicode en una font personalitzada. El problema és present al codi de maneig de fonts i es deu a la manca de controls adequats per garantir que l'amplada i l'alt del glif coincideixin amb la mida del mapa de bits disponible. Un atacant pot recollir l'entrada de manera que faci que s'escrigui una cua de dades fora del memòria intermèdia assignat. S'observa que malgrat la complexitat d'explotar la vulnerabilitat, no se n'exclou portar el problema a l'execució del codi.

La mitigació completa contra tots els CVE requerirà correccions actualitzades amb el SBAT més recent (Secure Boot Advanced Targeting) i dades proporcionades per distribucions i proveïdors.
Aquesta vegada no es farà servir la llista de revocació de UEFI (dbx) i la revocació dels trencats
els artefactes es realitzaran només amb SBAT. Per obtenir informació sobre com aplicar el
últimes revocacions de SBAT, consulteu mokutil(1). Les correccions del proveïdor poden explícitament permetre l'arrencada d'artefactes més antics coneguts.

S'actualitzaran GRUB2, shim i altres artefactes d'arrencada de tots els proveïdors afectats. estarà disponible quan s'aixequi l'embargament o algun temps després.

Es fa esment que la majoria de les distribucions de Linux utilitzen una petita capa de correcció, signada digitalment per Microsoft, per a l'arrencada verificada en el mode d'arrencada segura UEFI. Aquesta capa verifica Grub2 amb el seu propi certificat, el que permet que els desenvolupadors de distribució no certifiquin cada actualització de kernel i GRUB amb Microsoft.

Per bloquejar la vulnerabilitat sense revocar la signatura digital, les distribucions poden utilitzar el mecanisme SBAT (UEFI Secure Boot Advanced Targeting), que és compatible amb GRUB2, shim i fwupd a les distribucions de Linux més populars.

SBAT es va desenvolupar en col·laboració amb Microsoft i implica afegir metadades addicionals als fitxers executables del component UEFI, que inclouen informació sobre el fabricant, el producte, el component i la versió. Les metadades especificades estan signades digitalment i es poden incloure per separat a les llistes de components permesos o prohibits per a UEFI Secure Boot.

SBAT permet bloquejar l´ús d´una signatura digital per a números de versió de components individuals sense necessitat de revocar claus per a l'arrencada segura. El bloqueig de vulnerabilitats a través de SBAT no requereix utilitzar una UEFI CRL (dbx), sinó que es fa a nivell de reemplaçament de la clau interna per generar signatures i actualitzar GRUB2, shim i altres artefactes d'arrencada proporcionats per les distribucions.

Abans de la introducció de SBAT, l'actualització de la llista de certificats revocats (dbx, Llista de revocació de UEFI) era un requisit previ per bloquejar completament la vulnerabilitat, ja que un atacant, independentment del sistema operatiu utilitzat, podria fer servir mitjans d'arrencada amb una versió antiga vulnerable de GRUB2 certificat per una signatura digital per comprometre UEFI Secure Boot.

Finalment cal esmentar que la solució s'ha publicat com un pegat, per solucionar problemes a GRUB2, no n'hi ha prou amb actualitzar el paquet, també haureu de crear noves firmes digitals internes i actualitzar els instal·ladors, carregadors d'arrencada, paquets del nucli, fwupd-firmware i shim-layer.

L'estat de correcció de vulnerabilitats a les distribucions es pot avaluar en aquestes pàgines: Ubuntu, SUSE, RHELFedoraDebian.

Pots consultar més sobre això següent enllaç.