Eles detectaram duas vulnerabilidades no GRUB2

vulnerabilidade

Se exploradas, essas falhas podem permitir que invasores obtenham acesso não autorizado a informações confidenciais ou geralmente causem problemas

Detalhes de duas vulnerabilidades no gerenciador de inicialização GRUB2 foram divulgados que ppode levar à execução de código ao usar fontes especialmente projetadas e lidar com certas sequências Unicode.

Menciona-se que as vulnerabilidades detectadas sãoe pode ser usado para ignorar o mecanismo de inicialização verificada UEFI Secure Boot. As vulnerabilidades no GRUB2 permitem que o código seja executado no estágio após a verificação bem-sucedida do shim, mas antes que o sistema operacional seja carregado, quebrando a cadeia de confiança com o modo Secure Boot ativo e obtendo controle total sobre o processo pós-inicialização, por exemplo, Por exemplo, para iniciar outro sistema operacional, modificar componentes do sistema operacional e ignorar a proteção de bloqueio.

Relativamente às vulnerabilidades identificadas, refere-se o seguinte:

  • CVE-2022-2601: um estouro de buffer na função grub_font_construct_glyph() ao processar fontes especialmente criadas no formato pf2, que ocorre devido ao cálculo incorreto do parâmetro max_glyph_size e à alocação de uma área de memória obviamente menor do que a necessária para colocar glifos.
  • CVE-2022-3775: Escrita fora dos limites ao renderizar algumas strings Unicode em uma fonte personalizada. O problema está presente no código de manipulação da fonte e é causado pela falta de controles adequados para garantir que a largura e a altura do glifo correspondam ao tamanho do bitmap disponível. Um invasor pode colher a entrada de forma a fazer com que uma fila de dados seja gravada no buffer alocado. Note-se que, apesar da complexidade de explorar a vulnerabilidade, expor o problema à execução do código não está excluído.

A mitigação total contra todos os CVEs exigirá correções atualizadas com o SBAT mais recente (Secure Boot Advanced Targeting) e dados fornecidos por distribuições e fornecedores.
Desta vez, a lista de revogação UEFI (dbx) não será usada e a revogação dos quebrados
os artefatos serão feitos apenas com o SBAT. Para obter informações sobre como aplicar o
últimas revogações de SBAT, consulte mokutil(1). As correções do fornecedor podem explicitamente permitir a inicialização de artefatos de inicialização conhecidos mais antigos.

GRUB2, shim e outros artefatos de inicialização de todos os fornecedores afetados serão atualizados. estará disponível quando o embargo for levantado ou algum tempo depois.

Menção é feita que a maioria das distribuições linux usa uma pequena camada de patch, assinado digitalmente pela Microsoft, para inicialização verificada no modo UEFI Secure Boot. Esta camada verifica o GRUB2 com seu próprio certificado, que permite que os desenvolvedores de distribuição não certifiquem todas as atualizações de kernel e GRUB com a Microsoft.

Para bloquear a vulnerabilidade sem revogar a assinatura digital, distribuições pode usar o mecanismo SBAT (UEFI Secure Boot Advanced Targeting), que é compatível com GRUB2, shim e fwupd nas distribuições Linux mais populares.

O SBAT foi desenvolvido em colaboração com a Microsoft e envolve a adição de metadados adicionais aos arquivos executáveis ​​do componente UEFI, incluindo fabricante, produto, componente e informações de versão. Os metadados especificados são assinados digitalmente e podem ser incluídos em listas separadas de componentes permitidos ou proibidos para UEFI Secure Boot.

SBAT permite bloquear o uso de assinatura digital para números de versão de componentes individuais sem a necessidade de revogar chaves para inicialização segura. O bloqueio de vulnerabilidades via SBAT não requer o uso de um UEFI CRL (dbx), mas é feito no nível de substituição de chave interna para gerar assinaturas e atualizar GRUB2, shim e outros artefatos de inicialização fornecidos pelas distribuições.

Antes da introdução do SBAT, a atualização da lista de certificados revogados (dbx, UEFI Revocation List) era um pré-requisito para bloquear totalmente a vulnerabilidade, uma vez que um invasor, independentemente do sistema operacional usado, poderia usar uma mídia inicializável. GRUB2 certificado por uma assinatura digital para comprometer o UEFI Secure Boot.

Finalmente Vale ressaltar que a correção foi lançada como um patch., para corrigir problemas no GRUB2, não basta atualizar o pacote, você também precisará criar novas assinaturas digitais internas e atualizar os instaladores, bootloaders, pacotes de kernel, fwupd-firmware e shim-layer.

O status de correção de vulnerabilidade nas distribuições pode ser avaliado nestas páginas: Ubuntu, SUSE, RHELFedoraDebian.

Você pode conferir mais sobre isso no link a seguir


Seja o primeiro a comentar

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.