На сайте Ubuntu появилась информация о 8 уязвимостях в загрузчике GRUB2. Они позволяют обойти механизм UEFI Secure Boot и запустить код на уровне загрузчика или даже ядра. Суть в том, что для работы используется заверенная сертификатом Microsoft прослойка shim, которая, в свою очередь, заверяет GRUB2. Однако последующие обновления ядра и самого GRUB2 зачастую не заверяются.
Таким образом, если вредоносный код сработает во время загрузки, он сможет внедриться в цепочку доверия и, фактически, будет верифицирован. После того он сможет менять процесс загрузки, модифицировать ОС и так далее. Как сообщается, для решения проблемы нужно обновить сертификаты, а не только сам GRUB2. Также потребуется обновление дистрибутивов, поскольку на ПК с обновлёнными сертификатами версии со старым загрузчиком уже не запустятся.
Подробности об уязвимостях доступны вот здесь . При этом отмечается, что проблем в будущем планируется решить с помощью нового механизма SBAT (UEFI Secure Boot Advanced Targeting). Он поддерживается в GRUB2, shim и fwupd. Этот механизм заменил аналог из пакета dbxtool.
Что касается технических подробностей, то в SBAT будет использоваться набор метаданных (сведения о производителе, продукте, версии и компонентах), заверенный цифровой подписью. Фактически, это будет ещё один уровень проверки и защиты. Напомним, что ранее сообщалось о проблеме BootHole, которая также была связана с GRUB2.
