При эксплуатации эти недостатки могут позволить злоумышленникам получить несанкционированный доступ к конфиденциальной информации или вообще вызвать проблемы.
Подробная информация о двух уязвимостях в загрузчике GRUB2 была раскрыта, что pможет привести к выполнению кода при использовании специально разработанных шрифтов и обработке определенных последовательностей Unicode.
Отмечается, что обнаруженные уязвимостиe можно использовать для обхода проверенного механизма загрузки UEFI Secure Boot. Уязвимости в GRUB2 позволяют выполнить код на этапе после успешной проверки shim, но до загрузки операционной системы, разорвав цепочку доверия при активном режиме безопасной загрузки и получив полный контроль над постзагрузочным процессом, например, для запуска другой операционной системы, изменения компонентов операционной системы и обхода защиты от блокировки.
Что касается выявленных уязвимостей, то упоминается следующее:
- CVE-2022-2601: переполнение буфера в функции grub_font_construct_glyph() при обработке специально созданных шрифтов в формате pf2, возникающее из-за некорректного расчета параметра max_glyph_size и выделения области памяти заведомо меньшей, чем необходимо для размещения глифов.
- CVE-2022-3775: Запись за пределами границ при отображении некоторых строк Unicode в пользовательском шрифте. Проблема присутствует в коде обработки шрифтов и вызвана отсутствием надлежащих элементов управления, обеспечивающих соответствие ширины и высоты глифа доступному размеру растрового изображения. Злоумышленник может собрать входные данные таким образом, что очередь данных будет записана из выделенного буфера. Отмечается, что, несмотря на сложность эксплуатации уязвимости, не исключено подвергание проблемы исполнению кода.
Для полной защиты от всех CVE потребуются исправления, обновленные с помощью последней версии SBAT. (Secure Boot Advanced Targeting) и данные, предоставленные дистрибутивами и поставщиками.
На этот раз список отзыва UEFI (dbx) не будет использоваться, а отзыв сломанных
артефакты будут делаться только с SBAT. Для получения информации о том, как применить
последние отзывы SBAT см. в mokutil(1). Исправления поставщика могут явно разрешить загрузку старых известных загрузочных артефактов.GRUB2, прокладка и другие загрузочные артефакты от всех затронутых поставщиков будут обновлены. он будет доступен, когда эмбарго будет снято или некоторое время спустя.
Упоминается, что большинство дистрибутивов Linux используют небольшой патч-слой, с цифровой подписью Microsoft, для проверенной загрузки в режиме безопасной загрузки UEFI. Этот уровень проверяет GRUB2 с помощью собственного сертификата, что позволяет разработчикам дистрибутива не сертифицировать каждое обновление ядра и GRUB в Microsoft.
Чтобы заблокировать уязвимость без отзыва ЭЦП, рассылки может использовать механизм SBAT (UEFI Secure Boot Advanced Targeting), который поддерживается GRUB2, shim и fwupd в большинстве популярных дистрибутивов Linux.
SBAT был разработан в сотрудничестве с Microsoft и включает добавление дополнительных метаданных в исполняемые файлы компонентов UEFI, включая информацию о производителе, продукте, компоненте и версии. Указанные метаданные имеют цифровую подпись и могут быть включены в отдельные списки разрешенных или запрещенных компонентов для безопасной загрузки UEFI.
SBAT позволяет заблокировать использование ЭЦП для отдельных номеров версий компонентов без необходимости отзывать ключи для безопасной загрузки. Блокировка уязвимостей через SBAT не требует использования списка отзыва сертификатов UEFI. (dbx), а скорее выполняется на уровне замены внутреннего ключа для создания подписей и обновления GRUB2, прокладки и других загрузочных артефактов, предоставляемых дистрибутивами.
До введения SBAT обновление списка отзыва сертификатов (dbx, UEFI Revocation List) было обязательным условием для полной блокировки уязвимости, поскольку злоумышленник, вне зависимости от используемой операционной системы, мог использовать загрузочный носитель с уязвимой старой версией GRUB2 сертифицирован цифровой подписью для компрометации безопасной загрузки UEFI.
В конце концов Стоит отметить, что исправление было выпущено в виде патча., для устранения проблем в GRUB2 недостаточно обновить пакет, также потребуется создать новые внутренние цифровые подписи и обновить установщики, загрузчики, пакеты ядра, fwupd-прошивку и shim-слой.
Статус устранения уязвимостей в дистрибутивах можно оценить на этих страницах: Ubuntu, SUSE, RHEL, Fedora y Debian.
Вы можете узнать больше об этом в по следующей ссылке.