Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 172

AVIS CERTFR - 2021 - AVI - 172

Objet : Multiples vulnérabilités dans GRUB

Référence : CERTFR-2021-AVI-172

Risque(s)

- Exécution de code arbitraire

Systèmes affectés

- Toute machine configurée avec Secure Boot pour sécuriser la séquence de démarrage de son système d'exploitation

Résumé

GRUB2 est le bootloader le plus couramment utilisé par les distributions Linux pour démarrer le système d'exploitation.
De multiples vulnérabilités ont été découvertes dans GRUB2. Elles permettent à un attaquant, ayant la possibilité de passer une commande à GRUB2 ou de manipuler d'autres ressources utilisées par GRUB2, de provoquer une exécution de code arbitraire. Pour y parvenir, l'attaquant doit avoir les droits administrateurs ou avoir un accès physique à un équipement afin de manipuler la séquence de démarrage (via un support amovible ou via la modification du disque de boot de la machine). Ces méthodes permettent donc de compromettre une machine même si celle-ci n'a pas Linux d'installé à l'origine.
En agissant ainsi sur une machine configurée avec Secure Boot, l'attaquant est alors en capacité de rompre la chaîne de confiance et de déployer du code malveillant pour compromettre la machine de façon persistante sans être détecté.

Solution

Les mises à jour publiées par les éditeurs de distribution Linux doivent être appliquées sur les machines utilisant GRUB2.
Afin de rétablir la chaîne de confiance Secure Boot, toutes les machines configurées avec Secure Boot devront être mises à jour pour interdire l'utilisation des versions GRUB2 vulnérables. Cette étape consiste à actualiser les fichiers DB et DBX qui référencent respectivement les bootloaders de confiance et les bootloaders révoqués par Secure Boot :
- soit en appliquant les mesures préconisées par Microsoft pour les machines installées avec un système d'exploitation Windows
- soit en appliquant les mesures préconisées par l'éditeur de la distribution Linux lorsque celui propose une mise à jour de Secure Boot
- soit en appliquant une mise à jour de BIOS publiée par le constructeur de l'équipement
Cette mise à jour de DBX doit donc être réalisée après avoir mis à jour GRUB2 sur les machines pour ne pas risque un blocage au moment du démarrage.
Le CERT-FR recommande donc fortement de se référer aux différentes publications des éditeurs disponibles à ce jour (cf. références documentaires) afin de déterminer le plan d'actions adapté à chaque configuration.

Documentation

- Bulletin de sécurité GRUB du 02 mars 2021
https://lists.gnu.org/archive/html/grub-devel/2021-03/msg00007.html
- Bulletin de sécurité Ubuntu du 02 mars 2021
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021
- Bulletin de sécurité Red Hat du 02 mars 2021
https://access.redhat.com/security/vulnerabilities/RHSB-2021-003
- Bulletin de sécurité SUSE du 02 mars 2021
https://www.suse.com/support/kb/doc/?id=000019892
- Bulletin de sécurité VMware du 02 mars 2021
https://kb.vmware.com/s/article/82763
- Bulletin de sécurité Microsoft du 04 mars 2021
https://msrc.microsoft.com/update-guide/vulnerability/ADV200011
- Référence CVE CVE-2020-14372
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14372
- Référence CVE CVE-2020-25632
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25632
- Référence CVE CVE-2020-25647
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25647
- Référence CVE CVE-2020-27749
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27749
- Référence CVE CVE-2020-27779
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27779
- Référence CVE CVE-2021-3418
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3418
- Référence CVE CVE-2020-15705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15705
- Référence CVE CVE-2021-20225
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20225
- Référence CVE CVE-2021-20233
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20233

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-172/

AVIS CERTFR - 2021 - AVI - 279

16 avril 2021
actualite

Objet : Multiples vulnérabilités dans Microsoft EdgeRéférence : CERTFR-2021-AVI-279Risque(s)- Non spécifié par l'éditeurSystèmes affectés- Microsof... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 278

16 avril 2021
actualite

Objet : Multiples vulnérabilités dans le noyau Linux de SUSERéférence : CERTFR-2021-AVI-278Risque(s) - Non spécifié par l'éditeur - Exécution de co... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-172