Ak sú tieto chyby zneužité, môžu útočníkom umožniť získať neoprávnený prístup k citlivým informáciám alebo vo všeobecnosti spôsobiť problémy
Podrobnosti o dvoch zraniteľnostiach v zavádzači GRUB2 boli zverejnené, že pmôže viesť k spusteniu kódu pri používaní špeciálne navrhnutých písiem a manipulácii s určitými sekvenciami Unicode.
Uvádza sa, že zistené zraniteľnosti súe možno použiť na obídenie overeného spúšťacieho mechanizmu UEFI Secure Boot. Zraniteľnosť v GRUB2 umožňuje spustiť kód vo fáze po úspešnom overení shim, ale pred načítaním operačného systému, čím sa preruší reťaz dôvery s aktívnym režimom Secure Boot a získa sa plná kontrola nad procesom po spustení, napr. spustiť iný operačný systém, upraviť súčasti operačného systému a obísť ochranu zámkom.
Čo sa týka zistených zraniteľností, uvádzame nasledovné:
- CVE-2022-2601: pretečenie vyrovnávacej pamäte vo funkcii grub_font_construct_glyph() pri spracovaní špeciálne vytvorených fontov vo formáte pf2, ku ktorému dochádza v dôsledku nesprávneho výpočtu parametra max_glyph_size a pridelenia pamäťovej oblasti, ktorá je zjavne menšia, než je potrebné na umiestnenie glyfov.
- CVE-2022-3775: Pri vykresľovaní niektorých reťazcov Unicode vo vlastnom písme je písanie mimo hraníc. Problém sa vyskytuje v kóde na spracovanie písma a je spôsobený nedostatkom správnych ovládacích prvkov, ktoré by zabezpečili, že šírka a výška glyfu zodpovedá dostupnej veľkosti bitmapy. Útočník môže zozbierať vstup takým spôsobom, že spôsobí zápis frontu údajov z pridelenej vyrovnávacej pamäte. Treba poznamenať, že napriek zložitosti využívania tejto zraniteľnosti nie je vylúčené vystavenie problému spusteniu kódu.
Úplné zmiernenie všetkých CVE si bude vyžadovať opravy aktualizované pomocou najnovšieho SBAT (Secure Boot Advanced Targeting) a údaje poskytnuté distribúciami a dodávateľmi.
Tentoraz sa nepoužije zoznam odvolaní UEFI (dbx) a odvolanie poškodených
artefakty budú vyrobené iba pomocou SBAT. Informácie o tom, ako aplikovať
najnovšie zrušenia SBAT, pozri mokutil(1). Opravy dodávateľa môžu explicitne umožňujú spustenie starších známych bootovacích artefaktov.GRUB2, shim a ďalšie bootovacie artefakty od všetkých dotknutých predajcov budú aktualizované. bude k dispozícii po zrušení embarga alebo po nejakom čase.
Spomína sa to väčšina linuxových distribúcií používa malú záplatovú vrstvu, digitálne podpísané spoločnosťou Microsoft, pre overené spustenie v režime UEFI Secure Boot. Táto vrstva overuje GRUB2 pomocou vlastného certifikátu, čo umožňuje vývojárom distribúcie necertifikovať každú aktualizáciu jadra a GRUB od spoločnosti Microsoft.
Na zablokovanie zraniteľnosti bez odvolania digitálneho podpisu, distribúcie môže použiť mechanizmus SBAT (UEFI Secure Boot Advanced Targeting), ktorý podporujú GRUB2, shim a fwupd na najpopulárnejších linuxových distribúciách.
SBAT bol vyvinutý v spolupráci so spoločnosťou Microsoft a zahŕňa pridávanie ďalších metadát do spustiteľných súborov komponentov UEFI vrátane informácií o výrobcovi, produkte, komponente a verzii. Zadané metadáta sú digitálne podpísané a môžu byť zahrnuté do samostatných zoznamov povolených alebo zakázaných komponentov pre UEFI Secure Boot.
SBAT umožňuje blokovať používanie digitálneho podpisu pre čísla verzií jednotlivých komponentov bez potreby odvolania kľúčov pre Secure Boot. Blokovanie zraniteľností prostredníctvom SBAT nevyžaduje použitie UEFI CRL (dbx), ale skôr sa vykonáva na úrovni výmeny interného kľúča na generovanie podpisov a aktualizáciu GRUB2, shim a iných bootovacích artefaktov poskytovaných distribúciami.
Pred zavedením SBAT bola aktualizácia zoznamu zrušených certifikátov (dbx, UEFI Revocation List) nevyhnutnou podmienkou úplného zablokovania zraniteľnosti, pretože útočník bez ohľadu na použitý operačný systém mohol použiť zavádzacie médium. so zraniteľnou staršou verziou GRUB2 certifikovaný digitálnym podpisom na kompromitáciu UEFI Secure Boot.
Konečne Stojí za zmienku, že oprava bola vydaná ako oprava., na opravu problémov v GRUB2 nestačí aktualizovať balík, budete tiež musieť vytvoriť nové interné digitálne podpisy a aktualizovať inštalačné programy, bootloadery, balíčky jadra, fwupd-firmware a shim-layer.
Stav nápravy zraniteľnosti v distribúciách možno posúdiť na týchto stránkach: ubuntu, SUSE, RHEL, Fedora y Debian.
Viac o tom môžete skontrolovať v nasledujúci odkaz.