Ze ontdekten twee kwetsbaarheden in GRUB2

David Y. Naranjo

4 minuten

kwetsbaarheid

Als deze fouten worden misbruikt, kunnen aanvallers ongeoorloofde toegang krijgen tot gevoelige informatie of in het algemeen problemen veroorzaken

Details van twee kwetsbaarheden in de GRUB2 bootloader zijn onthuld dat pkan leiden tot code-uitvoering bij het gebruik van speciaal ontworpen lettertypen en het hanteren van bepaalde Unicode-reeksen.

Er wordt vermeld dat de ontdekte kwetsbaarheden zijne kan worden gebruikt om het door UEFI Secure Boot geverifieerde opstartmechanisme te omzeilen. Door kwetsbaarheden in GRUB2 kan code worden uitgevoerd in het stadium na de succesvolle shim-verificatie, maar voordat het besturingssysteem wordt geladen, waardoor de vertrouwensketen wordt verbroken met de Secure Boot-modus actief en volledige controle wordt verkregen over het post-bootproces, bijv. om een ​​ander besturingssysteem te starten, componenten van het besturingssysteem te wijzigen en vergrendelingsbeveiliging te omzeilen.

Met betrekking tot de geïdentificeerde kwetsbaarheden wordt het volgende vermeld:

  • CVE-2022-2601: een bufferoverloop in de functie grub_font_construct_glyph() bij het verwerken van speciaal vervaardigde lettertypen in pf2-indeling, die optreedt als gevolg van onjuiste berekening van de parameter max_glyph_size en toewijzing van een geheugengebied dat duidelijk kleiner is dan nodig is om glyphs te plaatsen.
  • CVE-2022-3775: Schrijven buiten het bereik bij het weergeven van enkele Unicode-tekenreeksen in een aangepast lettertype. Het probleem is aanwezig in de lettertypeverwerkingscode en wordt veroorzaakt door een gebrek aan de juiste controles om ervoor te zorgen dat de breedte en hoogte van de glyph overeenkomen met de beschikbare bitmapgrootte. Een aanvaller kan invoer zodanig verzamelen dat een wachtrij met gegevens uit de toegewezen buffer wordt weggeschreven. Opgemerkt wordt dat ondanks de complexiteit van het misbruiken van de kwetsbaarheid, het blootstellen van het probleem aan code-uitvoering niet is uitgesloten.

Volledige beperking van alle CVE's vereist fixes die zijn bijgewerkt met de nieuwste SBAT (Secure Boot Advanced Targeting) en gegevens verstrekt door distributies en leveranciers.
Deze keer wordt de UEFI-intrekkingslijst (dbx) niet gebruikt en wordt de intrekking van de
artefacten worden alleen gemaakt met SBAT. Voor informatie over het toepassen van de
laatste SBAT-intrekkingen, zie mokutil(1). Oplossingen van leveranciers kunnen expliciet sta het opstarten van oudere bekende opstartartefacten toe.

GRUB2, shim en andere opstartartefacten van alle getroffen leveranciers zullen worden bijgewerkt. het zal beschikbaar zijn wanneer het embargo wordt opgeheven of enige tijd daarna.

Dat wordt vermeld de meeste Linux-distributies gebruiken een kleine patchlaag, digitaal ondertekend door Microsoft, voor geverifieerd opstarten in UEFI Secure Boot-modus. Deze laag verifieert GRUB2 met zijn eigen certificaat, waardoor distributieontwikkelaars niet elke kernel- en GRUB-update met Microsoft kunnen certificeren.

Om de kwetsbaarheid te blokkeren zonder de digitale handtekening in te trekken, distributies kan het SBAT-mechanisme gebruiken (UEFI Secure Boot Advanced Targeting), dat wordt ondersteund door GRUB2, shim en fwupd op de meeste populaire Linux-distributies.

SBAT is ontwikkeld in samenwerking met Microsoft en omvat het toevoegen van aanvullende metadata aan de uitvoerbare bestanden van de UEFI-component, inclusief fabrikant-, product-, component- en versie-informatie. De opgegeven metagegevens zijn digitaal ondertekend en kunnen worden opgenomen in afzonderlijke lijsten met toegestane of verboden componenten voor UEFI Secure Boot.

Met SBAT kan het gebruik van een digitale handtekening worden geblokkeerd voor individuele componentversienummers zonder de noodzaak om sleutels voor Secure Boot in te trekken. Voor het blokkeren van kwetsbaarheden via SBAT is het gebruik van een UEFI CRL niet vereist (dbx), maar wordt eerder gedaan op het interne sleutelvervangingsniveau om handtekeningen te genereren en GRUB2, shim en andere opstartartefacten bij te werken die door distributies worden geleverd.

Voorafgaand aan de introductie van SBAT was het updaten van de certificaatintrekkingslijst (dbx, UEFI Revocation List) een vereiste om de kwetsbaarheid volledig te blokkeren, aangezien een aanvaller, ongeacht het gebruikte besturingssysteem, opstartbare media kon gebruiken met een kwetsbare oudere versie van SBAT. GRUB2 gecertificeerd door een digitale handtekening om UEFI Secure Boot in gevaar te brengen.

Eindelijk Het is vermeldenswaard dat de fix als patch is uitgebracht., om problemen in GRUB2 op te lossen, is het niet genoeg om het pakket bij te werken, je zult ook nieuwe interne digitale handtekeningen moeten maken en de installatieprogramma's, bootloaders, kernelpakketten, fwupd-firmware en shim-layer moeten updaten.

De herstelstatus van kwetsbaarheden in distributies kan op deze pagina's worden beoordeeld: Ubuntu, SUSE, RHELFedoraDebian.

Je kunt er meer over lezen in de volgende link.