Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

3 марта 2021 года

Wikinews-logo-ru.svg

Раскрыта информация о 8 уязвимостях в загрузчике GRUB2, позволяющих обойти механизм UEFI Secure Boot и добиться запуска неверифицированного кода, например, осуществить внедрение вредоносного ПО, работающего на уровне загрузчика или ядра.

Напомним, что в большинстве Linux-дистрибутивов для верифицированной загрузки в режиме UEFI Secure Boot используется небольшая прослойка shim, заверенная цифровой подписью Microsoft. Данная прослойка верифицирует GRUB2 собственным сертификатом, что позволяет разработчикам дистрибутивов не заверять каждое обновление ядра и GRUB в Microsoft. Уязвимости в GRUB2 позволяют добиться выполнения своего кода на этапе после успешной верификации shim, но до загрузки операционной системы, вклинившись в цепочку доверия при активном режиме Secure Boot и получив полный контроль за дальнейшим процессом загрузки, в том числе для загрузки другой ОС, модификации компонентов операционной системы и обхода защиты Lockdown.

Как и в случае с прошлогодней уязвимостью BootHole, для блокирования проблемы недостаточно обновить загрузчик, так как атакующий может использовать загрузочный носитель со старой уязвимой версией GRUB2, заверенной цифровой подписью, для компрометации UEFI Secure Boot, независимо от используемой операционной системы. Проблема решается только обновлением списка отозванных сертификатов (dbx, UEFI Revocation List), но в этом случае будет потеряна возможность использования старых установочных носителей c Linux. Для ускорения распространения отозванных сертификатов в будущем планируется задействовать механизм SBAT (UEFI Secure Boot Advanced Targeting), поддержка которого реализована для GRUB2, shim и fwupd.

На системах с прошивками, в которых обновлён список отозванных сертификатов, в режиме UEFI Secure Boot можно загрузить только обновлённые сборки дистрибутивов Linux. Дистрибутивам же потребуется обновить инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку, сгенерировав для них новые цифровые подписи. Пользователи должны будут обновить установочные образы и иные загрузочные носители, а также загрузить список отозванных сертификатов (dbx) в прошивку UEFI. До обновления dbx в UEFI система остаётся уязвимой независимо от установки обновлений в ОС. Статус устранения уязвимостей можно оценить на данных страницах: Ubuntu, SUSE, RHEL, Debian.

Выявленные уязвимости:

 

Источники[править]


OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Трудноустранимые уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot