Вышла новая версия менеджера загрузки операционных систем — GNU GRUB 2.06. Новинка получила целый ряд обновлений и, самое главное, патчи, устраняющие уязвимости класса BootHole, о части которых стало известно почти год назад.

В новой версии появились поддержка механизма SBAT (UEFI Secure Boot Advanced Targeting), который упрощает работу с компонентами для UEFI Secure Boot, а также механизм блокировки Lockdown, который не позволяет обойти Secure Boot. Теперь также поддерживаются зашифрованные тома LUKS2 и модули XSM/FLASK. Последние нужны для работы виртуальных машин и гипервизора Xen. С помощью этих модулей можно гибко определять права и ограничения для ВМ.

По умолчанию теперь отключена утилита os-prober, которая автоматически находила загрузочные разделы других ОС и добавляла их в загрузочное меню. Кроме того, были устранены ошибки и добавлены патчи из разных дистрибутивов Linux. Наконец, появилась возможность сборки GRUB с использованием GCC 10 и Clang 10.

В загрузчике GNU GRUB появились некоторые новые функции. Они могут существенно улучшить его работу и позволят обойти некоторые проблемы, касающиеся сбоев на начальном этапе загрузки операционной системы.

Во-первых, в grub-install теперь есть функции резервного копирования и восстановления. Вместо того чтобы сразу удалять все существующие файлы в grub-install, для них будет создана резервная копия, которая позволит откатить изменения. Это позволит более безопасно обновлять загрузчик и модули, чтобы не повредить систему и дать ей возможность загрузиться штатно.

Во-вторых, появилась поддержка некоторых функций файловой системы XFS. В частности, GRUB теперь понимает флаг XFS, который указывает на необходимость «ремонта» файловой системы, и выводит соответствующее сообщение. Также GRUB теперь поддерживает XFS-флаг bigtime, который исправляет «проблему 2038», и сам теперь тоже будет использовать 64-бит метки времени.

На сайте Ubuntu появилась информация о 8 уязвимостях в загрузчике GRUB2. Они позволяют обойти механизм UEFI Secure Boot и запустить код на уровне загрузчика или даже ядра. Суть в том, что для работы используется заверенная сертификатом Microsoft прослойка shim, которая, в свою очередь, заверяет GRUB2. Однако последующие обновления ядра и самого GRUB2 зачастую не заверяются.

Таким образом, если вредоносный код сработает во время загрузки, он сможет внедриться в цепочку доверия и, фактически, будет верифицирован. После того он сможет менять процесс загрузки, модифицировать ОС и так далее. Как сообщается, для решения проблемы нужно обновить сертификаты, а не только сам GRUB2. Также потребуется обновление дистрибутивов, поскольку на ПК с обновлёнными сертификатами версии со старым загрузчиком уже не запустятся.

Подробности об уязвимостях доступны вот здесь. При этом отмечается, что проблем в будущем планируется решить с помощью нового механизма SBAT (UEFI Secure Boot Advanced Targeting). Он поддерживается в GRUB2, shim и fwupd. Этот механизм заменил аналог из пакета dbxtool.

Что касается технических подробностей, то в SBAT будет использоваться набор метаданных (сведения о производителе, продукте, версии и компонентах), заверенный цифровой подписью. Фактически, это будет ещё один уровень проверки и защиты. Напомним, что ранее сообщалось о проблеме BootHole, которая также была связана с GRUB2.

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2  обновлениявызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.