Super UEFIinSecureBoot Disk
3-4
Super UEFIinSecureBoot Disk es una imagen de arranque de prueba de concepto (no mantenida ni mejorada activamente) con un cargador de arranque GRUB2 diseñado para usarse como base para unidades flash USB de recuperación.
Característica clave: el disco es completamente funcional con el modo de arranque seguro UEFI activado. Puede iniciar cualquier sistema operativo o archivo .efi, incluso con una firma que no sea confiable, no válida o faltante.
El arranque seguro es una característica del firmware UEFI que está diseñada para proteger el proceso de arranque evitando la carga de controladores o cargadores de sistema operativo que no estén firmados con una firma digital aceptable.
La mayoría de las computadoras modernas vienen con el arranque seguro habilitado de forma predeterminada, que es un requisito para el proceso de certificación de Windows 10. Aunque se puede desactivar en todas las placas base típicas en el menú de configuración UEFI, a veces no es posible, por ejemplo, debido a la contraseña de configuración UEFI en una computadora portátil corporativa que el usuario no conoce.
Este disco, después de instalarlo en una unidad flash USB y arrancarlo, desactiva efectivamente las funciones de protección de arranque seguro y permite realizar temporalmente casi todas las acciones con la PC como si el arranque seguro estuviera desactivado. Esto podría resultar útil para la recuperación de datos, la reinstalación del sistema operativo o simplemente para arrancar desde USB sin pensar en pasos adicionales.
Descargue el archivo de imagen desde la página de lanzamientos, escríbalo en una memoria USB usando uno de los siguientes programas:
ADVERTENCIA: se eliminarán todos los datos de su memoria flash USB.
La imagen contiene una única partición FAT32 de 500MiB. Utilice gparted o una herramienta similar para cambiar su tamaño y obtener espacio completo en la unidad USB.
El primer inicio en una PC con arranque seguro mostrará el cuadro de mensaje Infracción de acceso. Presione Aceptar y elija la opción de menú "Registrar certificado desde archivo". Seleccione ENROLL_THIS_KEY_IN_MOKMANAGER.cer y confirme la inscripción del certificado.
Las computadoras sin arranque seguro arrancarán en GRUB sin intervención manual.
¿Este disco funciona en arranque seguro?
Sí, lo hace. Carga cualquier kernel de Linux o archivo .efi o controlador no firmado o que no sea de confianza, después de registrar la clave manual del primer arranque utilizando el software MokManager. No es necesario desactivar el arranque seguro para realizar la inscripción de la clave de inicio rápido.
¿Este disco funciona en computadoras basadas en UEFI sin arranque seguro o con el arranque seguro deshabilitado?
Sí, funcionaría como un GRUB2 estándar.
¿Este disco funciona en computadoras antiguas con BIOS?
Sí, funciona como cualquier otro gestor de arranque GRUB2.
¿Se puede utilizar este disco para omitir el arranque seguro en el kit de arranque/virus UEFI?
No, en realidad no. Este disco requiere la intervención manual de un usuario físico en el primer arranque, lo que elimina el propósito del kit de arranque de ser sigiloso.
¿Puedo reemplazar GRUB con otro gestor de arranque EFI (rEFInd, syslinux, systemd-boot)?
Sí, reemplace grubx64_real.efi / grubia32_real.efi con sus archivos. El gestor de arranque no requiere estar firmado y también debería iniciar cualquier archivo .efi gracias a la Política de seguridad instalada por grubx64.efi / grubia32.efi (PreLoader), al igual que GRUB2 incluido en el disco.
El proceso de arranque UEFI de este disco se realiza en 3 etapas.
bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS
Etapa 1 : la placa base carga la cuña. Shim es un cargador especial que simplemente carga el siguiente ejecutable, grubx64.efi (precargador) en nuestro caso. Shim está firmado con la clave de Microsoft, lo que le permite iniciarse en modo de arranque seguro en todas las placas base de PC originales.
Shim contiene un certificado Fedora integrado (porque se extrae del repositorio de Fedora). Si el arranque seguro está habilitado, dado que grubx64.efi no está firmado con el certificado Fedora integrado, el shim arranca otro ejecutable, MokManager.efi, que es un software especial de administración de claves shim. MokManager solicita al usuario que continúe con el proceso de inscripción de clave o hash.
Versiones más nuevas de enlaces de instalación de cuñas para UEFI LoadImage, StartImage, ExitBootServices y funciones de salida para "reforzarse contra cargadores de arranque no participantes", que deben omitirse para este caso de uso de disco. El shim de Fedora no instala políticas de seguridad UEFI personalizadas, es por eso que no es posible cargar archivos efi autofirmados desde el gestor de arranque de segunda etapa, incluso si agrega sus hashes o certificados usando MokManager.
Etapa 2 : el precargador es un software similar al shim. También realiza la validación del ejecutable y carga el siguiente archivo efi. El precargador incluido en este disco es una versión simplificada que realiza solo una función: instalar la política de seguridad UEFI que permite todo. Esto permite cargar ejecutables efi arbitrarios con funciones UEFI LoadImage/StartImage incluso fuera de GRUB (por ejemplo, en UEFI Shell) y evita el endurecimiento de cuñas.
Etapa 3 : GRUB2 es un conocido gestor de arranque universal. Se ha parcheado para cargar el kernel de Linux sin verificación adicional (comandos linux/linuxefi), cargar archivos binarios .efi en la memoria y saltar a su punto de entrada (comando chainloader) y para imitar el "cargador de arranque participante" para shim.
Lea mi artículo sobre este tema: Explotación de cargadores de arranque firmados para eludir el arranque seguro UEFI (también disponible en ruso)
Super UEFIinSecureBoot Disk GRUB2 establece suisbd=1 variable. Podría usarse para detectar el GRUB2 parcheado del disco en un grub.conf compartido entre varios cargadores de arranque.
Desde la versión 3, GRUB utiliza el cargador de archivos UEFI .efi estándar, ya que existen algunos problemas con la implementación del cargador interno. Para usar el cargador interno, agregue set efi_internal_loader=1 en el archivo de configuración de GRUB. Ambos métodos pueden cargar archivos .efi que no son de confianza.
