אם מנוצלים, פגמים אלה יכולים לאפשר לתוקפים לקבל גישה לא מורשית למידע רגיש או לגרום לבעיות בדרך כלל
פרטים על שתי נקודות תורפה במטען האתחול GRUB2 נחשפו בעמודעלול להוביל לביצוע קוד בעת שימוש בגופנים שעוצבו במיוחד וטיפול ברצפי Unicode מסוימים.
מוזכר שהחולשות שזוהו הןניתן להשתמש ב-e כדי לעקוף את מנגנון האתחול המאומת של UEFI Secure Boot. פגיעויות ב-GRUB2 מאפשרות ביצוע קוד בשלב שלאחר אימות ה-shim המוצלח, אך לפני טעינת מערכת ההפעלה, שבירת שרשרת האמון עם מצב אתחול מאובטח פעיל והשגת שליטה מלאה על תהליך שלאחר האתחול, למשל, כדי להפעיל מערכת הפעלה אחרת, לשנות את רכיבי מערכת ההפעלה ולעקוף את הגנת הנעילה.
לגבי נקודות התורפה שזוהו, מוזכרות הדברים הבאים:
- CVE-2022-2601: הצפת חוצץ בפונקציה grub_font_construct_glyph() בעת עיבוד גופנים בעלי מבנה מיוחד בפורמט pf2, המתרחשת עקב חישוב שגוי של הפרמטר max_glyph_size והקצאת אזור זיכרון שכמובן קטן מהנדרש להצבת גליפים.
- CVE-2022-3775: כתיבה מחוץ לתחום בעת עיבוד כמה מחרוזות Unicode בגופן מותאם אישית. הבעיה קיימת בקוד הטיפול בגופן ונגרמת מחוסר בקרות מתאימות כדי להבטיח שרוחב וגובה הגליפים תואמים לגודל מפת הסיביות הזמין. תוקף יכול לאסוף קלט בצורה כזו שתגרום לתור של נתונים להיכתב מתוך המאגר המוקצה. יצוין שלמרות המורכבות של ניצול הפגיעות, חשיפת הבעיה לביצוע קוד אינה נשללת.
הפחתה מלאה כנגד כל ה-CVEs תדרוש תיקונים המעודכנים ב-SBAT העדכני ביותר (Secure Boot Advanced Targeting) ונתונים המסופקים על ידי הפצות וספקים.
הפעם לא ייעשה שימוש ברשימת הביטולים של UEFI (dbx) וביטולם של אלה השבורים
חפצים ייעשו רק עם SBAT. למידע כיצד ליישם את
ביטולי SBAT האחרונים, ראה מוקוטיל(1). תיקוני ספק יכולים במפורש לאפשר אתחול של חפצי אתחול ידועים יותר.GRUB2, shim וחפצי אתחול אחרים מכל הספקים המושפעים יעודכנו. הוא יהיה זמין כאשר האמברגו יוסר או זמן מה לאחר מכן.
מוזכר זאת רוב הפצות הלינוקס משתמשות בשכבת תיקון קטנה, חתום דיגיטלי על ידי Microsoft, לאתחול מאומת במצב אתחול מאובטח של UEFI. שכבה זו מאמתת את GRUB2 באישור משלה, המאפשר למפתחי הפצה לא לאשר כל ליבה ועדכון GRUB עם Microsoft.
כדי לחסום את הפגיעות מבלי לבטל את החתימה הדיגיטלית, הפצות יכול להשתמש במנגנון SBAT (UEFI Secure Boot Advanced Targeting), הנתמך על ידי GRUB2, shim ו-fwupd ברוב ההפצות הפופולריות של לינוקס.
SBAT פותח בשיתוף עם מיקרוסופט וכולל הוספת מטא נתונים נוספים לקבצי ההפעלה של רכיבי UEFI, כולל מידע על יצרן, מוצר, רכיב וגרסה. המטא נתונים שצוינו חתומים דיגיטלית וניתן לכלול אותם ברשימות רכיבים מותרים או אסורים נפרדים עבור UEFI Secure Boot.
SBAT מאפשר חסימת שימוש בחתימה דיגיטלית עבור מספרי גרסאות של רכיבים בודדים ללא צורך בביטול מפתחות עבור אתחול מאובטח. חסימת נקודות תורפה באמצעות SBAT אינה מחייבת שימוש ב-UEFI CRL (dbx), אלא נעשה ברמת החלפת מפתח פנימי כדי ליצור חתימות ולעדכן GRUB2, shim וחפצי אתחול אחרים המסופקים על ידי הפצות.
לפני הצגת SBAT, עדכון רשימת ביטולי האישורים (dbx, UEFI Revocation List) היה תנאי הכרחי לחסימה מלאה של הפגיעות, שכן תוקף, ללא קשר למערכת ההפעלה שבה נעשה שימוש, יכול להשתמש במדיה ניתנת לאתחול. עם גרסה ישנה ופגיעה של GRUB2 מאושר על ידי חתימה דיגיטלית כדי לסכן את UEFI Secure Boot.
בסופו של דבר ראוי להזכיר שהתיקון שוחרר כתיקון., כדי לתקן בעיות ב-GRUB2, זה לא מספיק לעדכן את החבילה, תצטרך גם ליצור חתימות דיגיטליות פנימיות חדשות ולעדכן את המתקנים, מטעני האתחול, חבילות הקרנל, ה-fwupd-firmware ושכבת shim-layer.
ניתן להעריך את מצב תיקון הפגיעות בהפצות בדפים הבאים: אובונטו, SUSE, רהל, פדורה y דביאן.
אתה יכול לבדוק יותר על זה ב הקישור הבא.