Вони виявили дві вразливості в GRUB2

David Y. Naranjo

4 хвилин

уразливість

У разі використання цих недоліків зловмисники можуть отримати несанкціонований доступ до конфіденційної інформації або загалом спричинити проблеми

Було розкрито деталі двох уразливостей у завантажувачі GRUB2, які пможе призвести до виконання коду під час використання спеціально розроблених шрифтів і обробки певних послідовностей Unicode.

Зазначається, що виявлені вразливості єe можна використовувати для обходу перевіреного механізму завантаження UEFI Secure Boot. Уразливості в GRUB2 дозволяють виконувати код на етапі після успішної перевірки shim, але до завантаження операційної системи, порушуючи ланцюжок довіри з активним режимом Secure Boot і отримуючи повний контроль над процесом після завантаження, наприклад, наприклад, щоб запустити іншу операційну систему, змінити компоненти операційної системи та обійти захист від блокування.

Щодо виявлених вразливостей, згадується наступне:

  • CVE-2022-2601: переповнення буфера у функції grub_font_construct_glyph() під час обробки спеціально створених шрифтів у форматі pf2, яке відбувається через неправильне обчислення параметра max_glyph_size та виділення області пам’яті, явно меншої, ніж потрібно для розміщення гліфів.
  • CVE-2022-3775: Поза межами написання під час відтворення деяких рядків Unicode у спеціальному шрифті. Проблема присутня в коді обробки шрифтів і спричинена відсутністю належних елементів керування, щоб переконатися, що ширина та висота гліфа відповідають доступному розміру растрового зображення. Зловмисник може зібрати вхідні дані таким чином, щоб спричинити запис черги даних із виділеного буфера. Зазначається, що незважаючи на складність використання уразливості, не виключено виявлення проблеми для виконання коду.

Для повного пом’якшення всіх CVE знадобляться виправлення, оновлені до останньої версії SBAT (Secure Boot Advanced Targeting) і дані, надані дистрибутивами та постачальниками.
Цього разу список відкликань UEFI (dbx) не використовуватиметься, а відкликання зламаних
артефакти будуть створені тільки за допомогою SBAT. Для отримання інформації про те, як застосувати
останні відкликання SBAT див. mokutil(1). Виправлення постачальника можуть явно дозволити завантаження старіших відомих артефактів завантаження.

GRUB2, shim та інші артефакти завантаження від усіх постраждалих постачальників буде оновлено. він буде доступний після зняття ембарго або через деякий час.

Згадується, що більшість дистрибутивів Linux використовують невеликий рівень латок, із цифровим підписом Microsoft, для перевіреного завантаження в режимі безпечного завантаження UEFI. Цей рівень перевіряє GRUB2 власним сертифікатом, що дозволяє розробникам дистрибутивів не сертифікувати кожне ядро ​​та оновлення GRUB у Microsoft.

Щоб заблокувати вразливість без відкликання ЕЦП, розсилки може використовувати механізм SBAT (UEFI Secure Boot Advanced Targeting), який підтримується GRUB2, shim і fwupd у більшості популярних дистрибутивів Linux.

SBAT було розроблено у співпраці з Microsoft і передбачає додавання додаткових метаданих до виконуваних файлів компонента UEFI, включаючи інформацію про виробника, продукт, компонент і версію. Зазначені метадані мають цифровий підпис і можуть бути включені в окремі списки дозволених або заборонених компонентів для безпечного завантаження UEFI.

SBAT дозволяє блокувати використання цифрового підпису для окремих номерів версій компонентів без необхідності відкликати ключі для безпечного завантаження. Блокування вразливостей за допомогою SBAT не вимагає використання UEFI CRL (dbx), а скоріше виконується на рівні внутрішньої заміни ключа для генерації підписів і оновлення GRUB2, shim та інших артефактів завантаження, які надаються дистрибутивами.

До появи SBAT оновлення списку відкликаних сертифікатів (dbx, UEFI Revocation List) було необхідною умовою для повного блокування вразливості, оскільки зловмисник, незалежно від використовуваної операційної системи, міг використовувати завантажувальний носій. GRUB2, сертифікований цифровим підписом для компрометації UEFI Secure Boot.

В кінці кінців Варто зазначити, що виправлення було випущено у вигляді патча., щоб вирішити проблеми в GRUB2, недостатньо оновити пакет, вам також потрібно буде створити нові внутрішні цифрові підписи та оновити інсталятори, завантажувачі, пакети ядра, fwupd-firmware і shim-layer.

Статус усунення вразливості в дистрибутивах можна оцінити на цих сторінках: Ubuntu, SUSE, RHELFedoraDebian.

Ви можете перевірити більше про це в наступне посилання.