Dacă sunt exploatate, aceste defecte pot permite atacatorilor să obțină acces neautorizat la informații sensibile sau, în general, pot cauza probleme
Detaliile a două vulnerabilități din încărcătorul de pornire GRUB2 au fost dezvăluite că par putea duce la executarea codului când se utilizează fonturi special concepute și se manipulează anumite secvențe Unicode.
Se menționează că vulnerabilitățile detectate sunte poate fi folosit pentru a ocoli mecanismul de pornire verificat UEFI Secure Boot. Vulnerabilitățile din GRUB2 permit executarea codului în etapa de după verificarea shim-ului cu succes, dar înainte ca sistemul de operare să fie încărcat, rupând lanțul de încredere cu modul Secure Boot activ și obținând control deplin asupra procesului post-pornire, de exemplu, de exemplu, pentru a porni un alt sistem de operare, pentru a modifica componentele sistemului de operare și pentru a ocoli protecția de blocare.
În ceea ce privește vulnerabilitățile identificate, se menționează următoarele:
- CVE-2022-2601: o depășire a memoriei tampon în funcția grub_font_construct_glyph() atunci când se prelucrează fonturi special create în format pf2, care apare din cauza calculării incorecte a parametrului max_glyph_size și a alocării unei zone de memorie care este evident mai mică decât este necesară pentru plasarea glifelor.
- CVE-2022-3775: Scrierea în afara limitelor la redarea unor șiruri Unicode într-un font personalizat. Problema este prezentă în codul de gestionare a fonturilor și este cauzată de lipsa controalelor adecvate pentru a se asigura că lățimea și înălțimea glifului se potrivesc cu dimensiunea bitmap-ului disponibilă. Un atacator poate colecta intrări în așa fel încât să facă ca o coadă de date să fie scrisă din buffer-ul alocat. Se observă că, în ciuda complexității exploatării vulnerabilității, expunerea problemei la executarea codului nu este exclusă.
Atenuarea completă a tuturor CVE-urilor va necesita remedieri actualizate cu cel mai recent SBAT (Secure Boot Advanced Targeting) și date furnizate de distribuții și furnizori.
De data aceasta lista de revocare UEFI (dbx) nu va fi folosită și revocarea celor stricate
artefactele vor fi realizate numai cu SBAT. Pentru informații despre cum să aplicați
ultimele revocări SBAT, vezi mokutil(1). Remedierile furnizorului pot în mod explicit permite pornirea artefactelor de boot cunoscute mai vechi.GRUB2, shim și alte artefacte de boot de la toți furnizorii afectați vor fi actualizate. va fi disponibil când embargoul va fi ridicat sau după ceva timp.
Se menționează că majoritatea distribuțiilor Linux folosesc un strat mic de patch-uri, semnat digital de Microsoft, pentru pornire verificată în modul UEFI Secure Boot. Acest strat verifică GRUB2 cu propriul certificat, care permite dezvoltatorilor de distribuție să nu certifice fiecare actualizare a nucleului și GRUB cu Microsoft.
Pentru a bloca vulnerabilitatea fără a revoca semnătura digitală, distribuții poate folosi mecanismul SBAT (UEFI Secure Boot Advanced Targeting), care este acceptat de GRUB2, shim și fwupd pe cele mai populare distribuții Linux.
SBAT a fost dezvoltat în colaborare cu Microsoft și implică adăugarea de metadate suplimentare la fișierele executabile ale componentei UEFI, inclusiv informații despre producător, produs, componentă și versiune. Metadatele specificate sunt semnate digital și pot fi incluse în liste separate de componente permise sau interzise pentru UEFI Secure Boot.
SBAT permite blocarea utilizării unei semnături digitale pentru numerele de versiuni ale componentelor individuale, fără a fi necesară revocarea cheilor pentru Secure Boot. Blocarea vulnerabilităților prin SBAT nu necesită utilizarea unui CRL UEFI (dbx), ci mai degrabă se face la nivelul de înlocuire internă a cheii pentru a genera semnături și a actualiza GRUB2, shim și alte artefacte de boot furnizate de distribuții.
Înainte de introducerea SBAT, actualizarea listei de revocare a certificatelor (dbx, UEFI Revocation List) era o condiție prealabilă pentru a bloca complet vulnerabilitatea, deoarece un atacator, indiferent de sistemul de operare utilizat, putea folosi medii de pornire cu o versiune mai veche vulnerabilă a GRUB2 certificat printr-o semnătură digitală pentru a compromite UEFI Secure Boot.
În cele din urmă Este demn de menționat că remedierea a fost lansată ca patch., pentru a remedia problemele în GRUB2, nu este suficient să actualizați pachetul, va trebui, de asemenea, să creați noi semnături digitale interne și să actualizați instalatorii, încărcătoarele, pachetele de kernel, fwupd-firmware și shim-layer.
Starea de remediere a vulnerabilităților din distribuții poate fi evaluată pe aceste pagini: Ubuntu, SUSE, RHEL, Fedora y Debian.
Puteți verifica mai multe despre el în următorul link.