Открили су две рањивости у ГРУБ2

David Y. Naranjo

КСНУМКС Минутос

рањивост

Ако се искористе, ови недостаци могу омогућити нападачима да добију неовлашћени приступ осетљивим информацијама или генерално да изазову проблеме

Откривени су детаљи о две рањивости у покретачу ГРУБ2 да пможе довести до извршења кода када користите посебно дизајниране фонтове и рукујете одређеним Уницоде секвенцама.

Помиње се да су откривене рањивостие се може користити за заобилажење УЕФИ Сецуре Боот верификованог механизма за покретање. Рањивости у ГРУБ2 омогућавају извршавање кода у фази након успешне верификације шим-а, али пре него што се оперативни систем учита, прекидајући ланац поверења са активним режимом безбедног покретања и добијањем потпуне контроле над процесом након покретања, нпр. да покренете други оперативни систем, модификујете компоненте оперативног система и заобиђете заштиту од закључавања.

Што се тиче идентификованих рањивости, помиње се следеће:

  • ЦВЕ-2022-2601: преливање бафера у функцији груб_фонт_цонструцт_глипх() приликом обраде посебно направљених фонтова у пф2 формату, до чега долази због нетачног израчунавања параметра мак_глипх_сизе и алокације меморијске области која је очигледно мања него што је потребно за постављање глифова.
  • ЦВЕ-2022-3775: Писање ван граница приликом приказивања неких Уницоде стрингова у прилагођеном фонту. Проблем је присутан у коду за руковање фонтом и узрокован је недостатком одговарајућих контрола како би се осигурало да ширина и висина глифа одговарају доступној величини битмапе. Нападач може прикупити улаз на такав начин да изазове исписивање реда података из додељеног бафера. Напомиње се да упркос сложености искоришћавања рањивости, излагање проблема извршењу кода није искључено.

Потпуно ублажавање свих ЦВЕ ће захтевати исправке ажуриране најновијим СБАТ-ом (Сецуре Боот Адванцед Таргетинг) и податке које обезбеђују дистрибуције и добављачи.
Овај пут се неће користити УЕФИ листа опозива (дбк), а опозив неисправних
артефакти ће се правити само са СБАТ-ом. За информације о томе како да примените
последња опозива СБАТ-а, погледајте мокутил(1). Исправке произвођача могу експлицитно дозволи покретање старијих познатих артефаката покретања.

ГРУБ2, подложак и други артефакти покретања од свих погођених добављача ће бити ажурирани. биће доступан када ембарго буде укинут или неко време након тога.

Помиње се то већина линук дистрибуција користи мали слој закрпе, дигитално потписан од стране Мицрософта, за верификовано покретање у УЕФИ режиму безбедног покретања. Овај слој верификује ГРУБ2 сопственим сертификатом, што омогућава програмерима дистрибуције да не сертификују свако ажурирање кернела и ГРУБ-а код Мицрософта.

Да блокирају рањивост без опозива дигиталног потписа, дистрибуције може користити СБАТ механизам (УЕФИ Сецуре Боот Адванцед Таргетинг), који подржавају ГРУБ2, схим и фвупд на најпопуларнијим Линук дистрибуцијама.

СБАТ је развијен у сарадњи са Мицрософтом и укључује додавање додатних метаподатака у извршне датотеке УЕФИ компоненте, укључујући информације о произвођачу, производу, компоненти и верзији. Наведени метаподаци су дигитално потписани и могу бити укључени у засебне листе дозвољених или забрањених компоненти за УЕФИ Сецуре Боот.

СБАТ омогућава блокирање употребе дигиталног потписа за појединачне бројеве верзија компоненти без потребе за опозивом кључева за безбедно покретање. Блокирање рањивости преко СБАТ-а не захтева употребу УЕФИ ЦРЛ-а (дбк), већ се ради на нивоу интерне замене кључа да би се генерисали потписи и ажурирали ГРУБ2, схим и други артефакти покретања које обезбеђују дистрибуције.

Пре увођења СБАТ-а, ажурирање листе опозива сертификата (дбк, УЕФИ Ревоцатион Лист) је био предуслов за потпуно блокирање рањивости, пошто је нападач, без обзира на оперативни систем који користи, могао да користи медиј за покретање са рањивом старијом верзијом ГРУБ2 сертификован дигиталним потписом да угрози УЕФИ Сецуре Боот.

Коначно Вреди напоменути да је исправка објављена као закрпа., да бисте решили проблеме у ГРУБ2, није довољно да ажурирате пакет, такође ћете морати да креирате нове интерне дигиталне потписе и ажурирате инсталатере, покретаче, кернел пакете, фвупд-фирмваре и схим-лаиер.

Статус отклањања рањивости у дистрибуцијама може се проценити на овим страницама: убунту, СУСЕ, РХЕЛфедораДебиан.

Више о томе можете проверити у следећи линк.