Si vous utilisez Grub2 comme chargeur de démarrage sur votre ordinateur laissez-moi vous dire que vous devriez le mettre à jour maintenantbien récemment 8 vulnérabilités ont été révélées dans ce chargeur de démarrage GRUB2 dont l'un est marqué comme critique.
Le plus dangereux d'entre eux est celui qui est catalogué avec le nom de code standole (CVE-2020 à 10713). Cette vulnérabilité détectée permet de contourner le mécanisme de démarrage UEFI Secure et d'installer des logiciels malveillants sans vérification.
La particularité de cette vulnérabilité est que, Pour résoudre ce problème, il ne suffit pas de mettre à jour GRUB2 car un attaquant peut utiliser un support de démarrage avec une version vulnérable précédent certifié par une signature numérique. Un attaquant peut compromettre le processus de vérification non seulement pour Linux, mais également pour d'autres systèmes d'exploitation, y compris Windows.
Et le problème est que la plupart des distributions Linux utilisent une petite couche de cale pour démarrage vérifié, qui est signé numériquement par Microsoft.
Cette couche vérifie GRUB2 avec son propre certificat, permettant aux développeurs de distribution de ne pas certifier chaque noyau GRUB et mettre à jour vers Microsoft.
La vulnérabilité permet, lors de la modification du contenu de grub.cfg, réalisez l'exécution de votre code dans l'étape après la vérification réussie de shim, mais avant le chargement du système d'exploitation, s'inscrire dans la chaîne de confiance lorsque Secure Boot est actif et prend le contrôle Total sur le processus de démarrage supplémentaire, y compris le démarrage d'un autre système d'exploitation, la modification des composants du système d'exploitation et le contournement de la protection contre les pannes.
La vulnérabilité est causée par un buffer overflow qui pourrait être exploité pour exécuter du code arbitraire pendant le processus de téléchargement. La vulnérabilité se manifeste lors de l'analyse du contenu du fichier de configuration grub.cfg, qui est généralement situé sur une partition ESP (EFI System Partition) et peut être édité par un attaquant avec des droits d'administrateur, sans violer l'intégrité du shim signé et des exécutables GRUB2.
Par erreur dans le code de l'analyseur de configuration, le gestionnaire d'erreurs d'analyse fatale YY_FATAL_ERROR n'a montré qu'un avertissement, mais n'a pas arrêté le programme. Le danger de vulnérabilité est réduit par la nécessité d'un accès privilégié au système; cependant, le problème peut être nécessaire pour l'implémentation de rootkits cachés en présence d'un accès physique à la machine (s'il est possible de démarrer à partir de son support).
Parmi les autres vulnérabilités trouvées:
- CVE-2020-14308 : Débordement de la mémoire tampon en raison de la taille de la zone de mémoire allouée non vérifiée dans grub_malloc.
- CVE-2020-14309 : débordement d'entier dans grub_squash_read_symlink, ce qui peut entraîner l'écriture de données en dehors du tampon alloué.
- CVE-2020-14310 : débordement d'entier dans read_section_from_string, ce qui peut entraîner l'écriture de données en dehors du tampon alloué.
- CVE-2020-14311 : débordement d'entier dans grub_ext2_read_link, ce qui peut entraîner l'écriture de données en dehors du tampon alloué.
- CVE-2020-15705 : permet le démarrage direct de noyaux non signés en mode de démarrage sécurisé sans couche intermédiaire entrelacée.
- CVE-2020-15706: accès à une zone mémoire déjà libérée (use-after-free) lors de l'abandon d'une fonction à l'exécution.
- CVE-2020-15707 : débordement d'entier dans le gestionnaire de taille initrd.
Solutions
Bien que tout ne soit pas perdu, depuis, pour résoudre ce problème, mettre à jour uniquement la liste des certificats révoqués (dbx, UEFI Revocation List) sur le système, mais dans ce cas, la possibilité d'utiliser l'ancien support d'installation avec Linux sera perdue.
Certains fabricants de matériel ont déjà inclus une liste mise à jour des certificats révoqués dans votre firmware; Sur de tels systèmes, en mode UEFI Secure Boot, seules les versions à jour des distributions Linux peuvent être chargées.
Pour corriger la vulnérabilité dans les distributions, les installateurs, les chargeurs de démarrage, les packages du noyau, le firmware fwupd et la couche de compatibilité devront également être mis à jour, générer de nouvelles signatures numériques pour eux.
Les utilisateurs devront mettre à jour les images d'installation et autres supports de démarrageet téléchargez la liste de révocation de certificats (dbx) dans le microprogramme UEFI. Jusqu'à la mise à jour de dbx dans UEFI, le système reste vulnérable quelle que soit l'installation des mises à jour dans le système d'exploitation.
Enfin, il est rapporté que des mises à jour du pack de correctifs ont été publiées pour Debian, Ubuntu, RHEL et SUSE, ainsi que pour GRUB2, un ensemble de correctifs a été publié.
Il serait bon de clarifier si ces vulnérabilités peuvent être exploitées localement ou à distance, cela change la dimension du problème.
Il serait plus utile de savoir comment ces problèmes sont résolus. car dans mon cas particulier, je ne sais même pas par où commencer
Il y a un jour ou deux, j'ai remarqué que j'avais une mise à jour GRUB2, je ne sais pas si c'était le patch, c'était juste une mise à jour ... en tout cas ...
Ils parlent de la mise à jour du micrologiciel, des certificats numériques, du téléchargement de la liste de révocation des certificats (dbx) dans le micrologiciel UEFI, où et comment cela se fait ...
C'est-à-dire que l'information est bonne, mais pour un débutant, c'est comme s'il parlait en chinois mandarin.
C'est une critique constructive.
Bon Clickbait:
La vulnérabilité est un débordement de tampon lié à la façon dont GRUB2 analyse son fichier de configuration grub.cfg. Un attaquant disposant des privilèges d'administrateur sur le système ciblé peut modifier ce fichier afin que son code malveillant soit exécuté dans l'environnement UEFI avant le chargement de l'OS.
Arrêtez d'effrayer les gens