Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas
Alguns dias atrás informações sobre uma falha foram divulgadas que foi detectado no controlador fornecendo trabalho com sistema de arquivos NTFS no bootloader GRUB2, catalogado sob CVE-2023-4692.
Vulnerabilidade é devido a um erro no código de análise de um atributo NTFS, que pode ser usado para gravar informações controladas pelo usuário em uma área de memória fora do buffer alocado. Ao processar uma imagem NTFS especialmente criada, um estouro leva à substituição de parte da memória GRUB e também, sob certas condições, danificar a área de memória do firmware UEFI, potencialmente permitindo que você organize a execução do seu código no nível do bootloader ou firmware.
É mencionado que a vulnerabilidade permite que uma pessoa mal-intencionada execute código no nível do bootloader ao acessar uma imagem de sistema de arquivos especialmente criada. A vulnerabilidade pode ser usada para ignorar o mecanismo de inicialização verificado do UEFI Secure Boot.
Olá a todos,
Este conjunto de patches contém um pacote de correções para diversas falhas de segurança descobertas no código do driver GRUB2 NTFS recentemente. O mais grave, isto é, potencialmente explorável, tenha CVE atribuído.
A mitigação total contra todos os CVEs exigirá uma atualização com o SBAT mais recente
(Segmentação avançada de inicialização segura). Desta vez, a lista de revogação UEFI (dbx) não será usada e a lista quebrada será revogada.
O problema com esse tipo de vulnerabilidade no GRUB2 é que elas permitem a execução do código no estágio após a verificação bem-sucedida, mas antes de carregar o sistema operacional, entrando na cadeia de confiança quando o modo de inicialização segura está ativo e ganhando controle total sobre o processo de inicialização subsequente.
Para bloquear a vulnerabilidade sem revogar a assinatura digital, menciona-se que distribuições podem usar o mecanismo SBAT (UEFI Secure Boot Advanced Targeting), que suporta GRUB2, shim e fwupd.
Para quem não conhece o mecanismo SBAT, saiba que ele foi desenvolvido em conjunto com a Microsoft e envolve a adição de metadados adicionais aos arquivos executáveis dos componentes UEFI, incluindo informações sobre fabricante, produto, componente e versão. Os metadados especificados são certificados com assinatura digital e podem ser incluídos separadamente nas listas de componentes permitidos ou proibidos para UEFI Secure Boot.
É por isso que o mecanismo SBAT permite bloquear o uso de assinaturas digitais para números de versão de componentes individuais sem precisar revogar chaves para inicialização segura. O bloqueio de vulnerabilidades através do SBAT não requer o uso de uma lista de revogação de certificados UEFI (dbx), mas é feito no nível de substituição da chave interna para gerar assinaturas e atualizar GRUB2, shim e outros artefatos de inicialização fornecidos pelas distribuições.
Além desta vulnerabilidade, é mencionado que outra vulnerabilidade também foi identificada (CVE-2023-4693) no driver GRUB2 NTFS, que permite ler o conteúdo de uma área de memória arbitrária analisando o atributo "$DATA" em uma imagem NTFS especialmente criada. Entre outras coisas, a vulnerabilidade permite recuperar dados confidenciais armazenados em cache na memória ou determinar os valores das variáveis EFI.
Até agora Os problemas só foram resolvidos por um patch, embora para resolver os problemas do GRUB2 não basta atualizar o pacote; Você também precisa gerar novas assinaturas digitais internas e atualizar instaladores, bootloaders, pacotes de kernel, firmware fwupd e a camada shim.
A maioria das distribuições Linux usa uma pequena camada de patch, assinada digitalmente pela Microsoft, para inicialização verificada no modo UEFI Secure Boot. Essa camada verifica o GRUB2 com seu próprio certificado, permitindo que os desenvolvedores de distribuição não tenham todos os kernels e atualizações do GRUB certificados pela Microsoft.
Finalmente, Se você estiver interessado em saber mais sobre isso, Você pode verificar o status da eliminação de vulnerabilidades nas distribuições, que pode ser avaliado nestas páginas: Debian, Ubuntu, SUSE, RHEL y Fedora.