Ha kihasználják, ezek a hibák lehetővé tehetik a támadók számára, hogy jogosulatlanul hozzáférjenek érzékeny információkhoz, vagy általában problémákat okozhatnak.
A GRUB2 rendszerindító betöltő két sebezhetőségének részleteit hozták nyilvánosságrakódvégrehajtáshoz vezethet speciálisan tervezett betűtípusok használatakor és bizonyos Unicode szekvenciák kezelésekor.
Megemlítik, hogy az észlelt sebezhetőségek igene használható az UEFI Secure Boot ellenőrzött rendszerindítási mechanizmusának megkerülésére. A GRUB2 biztonsági rései lehetővé teszik a kód futtatását a sikeres alátétellenőrzést követő szakaszban, de még az operációs rendszer betöltése előtt, megszakítva a bizalmi láncot aktív Biztonságos rendszerindítási mód mellett, és teljes irányítást szerezve a rendszerindítás utáni folyamat felett, pl. egy másik operációs rendszer indításához, az operációs rendszer összetevőinek módosításához és a zárolás elleni védelem megkerüléséhez.
Az azonosított sebezhetőségekkel kapcsolatban a következőket említjük:
- CVE-2022-2601: puffertúlcsordulás a grub_font_construct_glyph() függvényben, amikor speciálisan kialakított fontokat pf2 formátumban dolgoz fel, ami a max_glyph_size paraméter helytelen kiszámítása és a karakterjelek elhelyezéséhez szükségesnél nyilvánvalóan kisebb memóriaterület lefoglalása miatt következik be.
- CVE-2022-3775: Határokon kívüli írás, amikor egyes Unicode-karakterláncokat egyedi betűtípussal jelenít meg. A probléma a betűkészlet-kezelő kódban van, és a megfelelő vezérlők hiánya okozza, hogy a karakterjel szélessége és magassága megfeleljen a rendelkezésre álló bitképméretnek. A támadó úgy gyűjtheti be a bemenetet, hogy az adatok sorát írja ki a lefoglalt pufferből. Megjegyzendő, hogy a sérülékenység kihasználásának összetettsége ellenére nem kizárt, hogy a problémát kódfuttatásnak teszik ki.
Az összes CVE elleni teljes mérsékléshez a legújabb SBAT-tal frissített javításokra lesz szükség (Secure Boot Advanced Targeting) és a disztribúciók és szállítók által biztosított adatok.
Ezúttal az UEFI visszavonási listát (dbx) nem használjuk, és a töröttek visszavonását
műtermékek csak SBAT-tal készülnek. Az alkalmazással kapcsolatos információkért a
legújabb SBAT visszavonások, lásd mokutil(1). A szállítói javítások kifejezetten lehetővé teszi a régebbi ismert rendszerindítási melléktermékek indítását.A GRUB2, az alátét és az összes érintett szállító egyéb rendszerindítási melléktermékei frissítésre kerülnek. az embargó feloldásakor vagy egy idő után elérhető lesz.
Azt említik a legtöbb linux disztribúció kis javítási réteget használ, a Microsoft által digitálisan aláírt, ellenőrzött rendszerindításhoz UEFI Secure Boot módban. Ez a réteg saját tanúsítvánnyal ellenőrzi a GRUB2-t, amely lehetővé teszi a terjesztési fejlesztők számára, hogy ne tanúsítsanak minden kernel- és GRUB-frissítést a Microsofttal.
A sebezhetőség blokkolására a digitális aláírás visszavonása nélkül, disztribúciók használhatja az SBAT mechanizmust (UEFI Secure Boot Advanced Targeting), amelyet a GRUB2, a shim és az fwupd támogat a legnépszerűbb Linux disztribúciókon.
Az SBAT-ot a Microsofttal együttműködésben fejlesztették ki, és további metaadatokat ad hozzá az UEFI-komponens végrehajtható fájljaihoz, beleértve a gyártó-, termék-, összetevő- és verzióadatokat. A megadott metaadatok digitálisan aláírva vannak, és az UEFI Secure Boot külön engedélyezett vagy tiltott összetevőlistáján szerepelhetnek.
Az SBAT lehetővé teszi a digitális aláírás használatának blokkolását az egyes összetevők verziószámaihoz anélkül, hogy vissza kellene vonni a biztonságos rendszerindítás kulcsait. A biztonsági rések SBAT-on keresztüli blokkolásához nincs szükség UEFI CRL használatára (dbx), hanem a belső kulcscsere szintjén történik aláírások generálására, valamint a GRUB2, az alátét és a disztribúciók által biztosított egyéb rendszerindítási melléktermékek frissítésére.
Az SBAT bevezetése előtt a tanúsítvány-visszavonási lista (dbx, UEFI visszavonási lista) frissítése a sebezhetőség teljes blokkolásának előfeltétele volt, mivel a támadó, függetlenül a használt operációs rendszertől, bootolható adathordozót használhat. A GRUB2 digitális aláírással igazolt az UEFI Secure Boot kompromittálására.
Végül Érdemes megemlíteni, hogy a javítás javításként jelent meg., a GRUB2 problémáinak megoldásához nem elegendő a csomag frissítése, hanem új belső digitális aláírásokat is létre kell hozni, és frissíteni kell a telepítőket, a rendszerbetöltőket, a kernelcsomagokat, az fwupd-firmware-t és a shim-layert.
A disztribúciók sebezhetőségének helyreállítási állapota az alábbi oldalakon értékelhető: Ubuntu, SUSE, RHEL, Fedora y Debian.
Erről bővebben a következő link.