28 Backspace és egy Enter

Linux-security

28 Backspace és egy Enter

Back to 28: Grub2 Authentication 0-Day
http://hmarco.org/bugs/CVE-2015-8370-Grub2-authentication-bypass.html

  • 3394 megtekintés

( trey | 2015. 12. 17., cs – 20:28 )

Érdekes probléma, bár nem tudom milyen security-ről beszélünk, ha valaki már fizikailag hozzáfér a gépünkhöz és azon billentyűket nyomogathat.

--
trey @ gépház

Először én is erre gondoltam, de mi van ha mondjuk szereztél remote konzol hozzáférést (ipmi/ip kvm/ilo stb)? Szerintem ha a bios/efi le van védve, illetve nyilván a konzol is, akkor sokat nem tudsz csinálni, de itt rést találhatsz.

Ezzel csak azt akartam mondani, hogy a grub hozzáférés még nem feltétlenül jelent teljes körű fizikai hozzáférést, és talán számíthat ez. De mondjuk a gyakorlati jelentőségét nem sokra értékelem.

( ncc1701 | 2015. 12. 17., cs – 21:00 )

Ha vki már fizikailag ott van egy gépnél, akkor teljesen mindegy.

Sztem. az ügynökök felkészítésére nincs mindig elég idő, főleg a gép-"hekkelés"-tanfolyamok maradnak el. (Meg drága is, az "Etikus-hekkelés"-tanfolyam.) Ilyen egyszerű módszereket viszont könnyű bárkinek megjegyezni, sőt fejben tartani is. Nem kell esetleg nagy távolságra, bonyolult HowTo-kat eljuttatni nekik, ezzel is növelve a lebuktatás veszélyét. (28-ig számolni egy ideje már mindenki tud.)

:)

Ha a gép képes bootolni diszken kívül bárhonnan, akkor bebootol egy CD-vel, USB-vel és felbaszta a rendszert. Sokkal többre megy, ha megakadályozza a rendszer elindulását addig, hogy az bootoljon. Gyakorlatilag egy értelmetlen funkció hibájáról beszélünk. Egy értelmetlen és ráadásul szarul implementált funkcióéról. Ez így csak fals biztonságérzetet ad.

Sokkal többet ér, ha valaki megszervezi a gépe fizikai védelmét. Nem pedig ilyen bohóckodásokra hagyatkozik. Többet árt mint használ.

--
trey @ gépház

Nem csak szupertitkos gépekre kell gondolni. Minket például komolyabban érint a hiba:

Iskolai tantermeket üzemeltetünk, a gépek le vannak zárva, de a billentyűzet/egér/monitorhoz természetesen hozzáférnek. Minden gépen a BIOS-ok "le vannak jelszavazva" módosításra, de a bootolásra nyilván nem. Minden gépen 3-4 operációs rendszer is van, különböző configokkal, toolokkal. A gépek PXE-boot (majd UNDI) segítségével a hálózatról bootolnak, van egy központi (a tanárok álal beállított) adatbázis, ez dönti el hogy "mi bootolhat". Abban az esetben viszont ha nincs hálózat, tartalék megoldásként egy local GRUB indul - ilyenkor a tanár/kezelőszemélyzet (a GRUB jelszó ismeretében) beavatkozik, és elindítja a megfelelő imaget, hibakereső tool-t stb.

Itt már látszik hogy problémás ha a GRUB-jelszót bárki át tudja ugrani, de nézzünk egy való életből vett példát. A dolgozatok, versenyek, érettségik írása természetesen szűz telepítésen történik. Előtte viszont közel sincs annyi idő amíg egy ilyen telepítés felkerülhet a gépekre: Megoldásként 2 azonos operációs rendszer kerül telepítésre, és közvetlenül az esemény kezdete előtt egy újraindítással át vannak kényszerítve a gépek - az addig nem használt - tiszta telepítésre. Ha ezt bypass-elni lehet a felhasználók által, azzal a tiszta környezet megszűntethető.
Ennél is nagyobb gond hogy a versenyek "lemezképét" meg kell őrizni - és természetesen a lementésre sincs elegendő idő azonnal. - Egy GRUB bypass ennek a meghamisítását is lehetővé teheti, mert amíg az hogy valaki darabokra szedi a gépet felügyelő jelenlétében nem igazán reális, addig egy ilyen szinte kockázat nélkül kivitelezhető.

Nyilván ez egy nem kritikus rendszer, és nem túl valószínű hogy bárki is GRUB-on keresztül szeretné támadni, de igazából a GRUB-jelszó átugrása bárhol gondot jelenthet ahol egy hardveren több - különböző megbízhatóságú - operációs rendszer fut, és nem mindenki jogosult akármelyiket futtatni.

> Hacsak nem volt titkosított
> 2016 2015

Mi oka lenne (önszántából) _bárkinek_ olyan eszközre _bármilyen_ adatot tenni, ami nincs titkosítva? A 2in1-omon a Windows gyárilag bekapcsolja a device titkosítását. A céges gépen a policy kikényszeríti a FDE-t. Akinek egyik sem válik be, ezerféle FDE megoldás van, ingyen is.

Most csalódtam az IT-ben. ;)

( NevemTeve | 2015. 12. 27., v – 16:32 )

<öregember>
Van ennek a grub-nak valami előnye a lilohoz képest?
</>