มีการระบุช่องโหว่ 8 ช่องใน GRUB2 ที่อนุญาตให้เรียกใช้รหัสที่ไม่ได้รับการยืนยัน

เมื่อเร็ว ๆ นี้ มีการเผยแพร่ข้อมูล 8 ช่องโหว่ใน GRUB2 bootloaderที่ อนุญาตให้ข้ามกลไกการบูตที่ปลอดภัยของ UEFI และมีการรันโค้ดที่ไม่ได้รับการยืนยันตัวอย่างเช่นเพื่อฉีดมัลแวร์ที่ทำงานในระดับ bootloader หรือเคอร์เนล

โปรดจำไว้ว่าในลินุกซ์ส่วนใหญ่สำหรับการบูตที่ได้รับการยืนยันในโหมดการบูตที่ปลอดภัยของ UEFI จะใช้เลเยอร์การชดเชยขนาดเล็กที่รับรองโดยลายเซ็นดิจิทัลของ Microsoft

เลเยอร์นี้จะตรวจสอบ GRUB2 กับใบรับรองของตัวเองทำให้นักพัฒนาไม่สามารถรับรองเคอร์เนล GRUB ทุกตัวและอัปเดตเป็น Microsoft

ด้วยนั่นเอง ช่องโหว่ใน GRUB2 ช่วยให้คุณสามารถเรียกใช้โค้ดของคุณได้ในขั้นตอนหลังการยืนยัน การแก้ไขที่ประสบความสำเร็จ แต่ก่อนที่ระบบปฏิบัติการจะโหลดให้ปรับเข้ากับห่วงโซ่แห่งความไว้วางใจเมื่อ Secure Boot ทำงานอยู่และได้รับการควบคุมอย่างเต็มที่ในกระบวนการบูตในภายหลังรวมถึงการบูตระบบปฏิบัติการอื่นแก้ไขระบบปฏิบัติการส่วนประกอบของระบบและข้ามการล็อกการป้องกัน

เช่นเดียวกับในกรณีของช่องโหว่ BootHole จากปีที่แล้ว การอัพเดต bootloader ไม่เพียงพอที่จะบล็อกปัญหาในฐานะผู้โจมตีโดยไม่คำนึงถึงระบบปฏิบัติการที่ใช้สามารถใช้สื่อสำหรับบูตกับ GRUB2 เวอร์ชันเก่าที่มีช่องโหว่ซึ่งได้รับการรับรองด้วยลายเซ็นดิจิทัลเพื่อบุกรุก UEFI Secure Boot

ปัญหานี้แก้ไขได้โดยการอัปเดตรายการใบรับรองที่ถูกเพิกถอนเท่านั้น (dbx, UEFI Revocation List) แต่ในกรณีนี้ความสามารถในการใช้สื่อการติดตั้งแบบเก่ากับ Linux จะหายไป

บนระบบที่มีเฟิร์มแวร์ที่มีการอัปเดตรายการใบรับรองที่ถูกเพิกถอนชุดการกระจาย Linux ที่อัปเดตแล้วสามารถโหลดได้ในโหมด UEFI Secure Boot เท่านั้น

การแจกจ่ายจะต้องอัปเดตตัวติดตั้งโปรแกรมโหลดบูตแพ็คเกจเคอร์เนลเฟิร์มแวร์ fwupd และเลเยอร์การชดเชยโดยการสร้างลายเซ็นดิจิทัลใหม่สำหรับพวกเขา

ผู้ใช้จะต้องอัปเดตอิมเมจการติดตั้งและสื่อสำหรับบูตอื่น ๆ และดาวน์โหลดรายการเพิกถอนใบรับรอง (dbx) ในเฟิร์มแวร์ UEFI จนกว่าจะมีการอัปเดต dbx ใน UEFI ระบบจะยังคงมีช่องโหว่ไม่ว่าจะมีการติดตั้งอัพเดตในระบบปฏิบัติการ

เพื่อแก้ปัญหาที่ได้รับ การแจกจ่ายใบรับรองที่ถูกเพิกถอน มีการวางแผนที่จะใช้กลไก SBAT ในอนาคต (UEFI Secure Boot Advanced Targeting) ซึ่งตอนนี้รองรับ GRUB2, shim และ fwupd และจะแทนที่ฟังก์ชันที่มีให้โดยแพ็คเกจ dbxtool ในการอัปเดตในอนาคต SBAT คือ พัฒนาร่วมกับ Microsoft เพื่อเพิ่มข้อมูลเมตาใหม่ให้กับไฟล์ปฏิบัติการของคอมโพเนนต์ UEFIซึ่งรวมถึงข้อมูลผู้ผลิตผลิตภัณฑ์ส่วนประกอบและเวอร์ชัน

จากช่องโหว่ที่ระบุ:

1. CVE-2020-14372- ด้วยคำสั่ง acpi บน GRUB2 ผู้ใช้ที่มีสิทธิพิเศษบนระบบโลคัลสามารถโหลดตาราง ACPI ที่แก้ไขได้โดยวาง SSDT (ตารางคำอธิบายระบบรอง) ในไดเร็กทอรี / boot / efi และเปลี่ยนการตั้งค่าใน grub.cfg
2. CVE-2020-25632: การเข้าถึงพื้นที่หน่วยความจำที่ได้รับการปลดปล่อยแล้ว (use-after-free) ในการใช้งานคำสั่ง rmmod ซึ่งแสดงให้เห็นเมื่อพยายามดาวน์โหลดโมดูลใด ๆ โดยไม่คำนึงถึงการอ้างอิงที่เกี่ยวข้อง
3. CVE-2020-25647: เขียนขีด จำกัด บัฟเฟอร์ในฟังก์ชัน grub_usb_device_initialize () ที่เรียกเมื่อเริ่มต้นอุปกรณ์ USB ปัญหานี้สามารถใช้ประโยชน์ได้โดยการเชื่อมต่ออุปกรณ์ USB ที่เตรียมไว้เป็นพิเศษซึ่งสร้างพารามิเตอร์ที่ไม่ตรงกับขนาดของบัฟเฟอร์ที่จัดสรรสำหรับโครงสร้าง USB
4. CVE-2020-27749: บัฟเฟอร์ล้นใน grub_parser_split_cmdline () ซึ่งอาจเกิดจากการระบุตัวแปรที่มีขนาดใหญ่กว่า 1 KB บนบรรทัดคำสั่ง GRUB2 ช่องโหว่นี้อาจเปิดโอกาสให้มีการเรียกใช้โค้ดโดยไม่ต้องผ่าน Secure Boot
5. CVE-2020-27779: คำสั่ง cutmem ช่วยให้ผู้โจมตีสามารถลบช่วงของที่อยู่ออกจากหน่วยความจำเพื่อข้ามการบูตแบบปลอดภัย
6. CVE-2021-3418: การเปลี่ยนแปลง shim_lock ได้สร้างเวกเตอร์เพิ่มเติมเพื่อใช้ประโยชน์จากช่องโหว่ CVE-2020-15705 ของปีที่แล้ว ด้วยการติดตั้งใบรับรองที่ใช้ในการลงนาม GRUB2 ใน dbx ทำให้ GRUB2 อนุญาตให้เคอร์เนลใด ๆ โหลดโดยตรงโดยไม่ต้องตรวจสอบลายเซ็น
7. CVE-2021-20225: ความสามารถในการเขียนข้อมูลจากบัฟเฟอร์เมื่อดำเนินการคำสั่งด้วยตัวเลือกจำนวนมาก
8. CVE-2021-20233: ความสามารถในการเขียนข้อมูลจากบัฟเฟอร์เนื่องจากการคำนวณขนาดบัฟเฟอร์ไม่ถูกต้องเมื่อใช้เครื่องหมายคำพูด เมื่อคำนวณขนาดสันนิษฐานว่าต้องใช้อักขระสามตัวในการหลีกเลี่ยงเครื่องหมายคำพูดเดียวแม้ว่าในความเป็นจริงจะใช้เวลาสี่ตัว

Fuente: https://ubuntu.com