Super UEFIinSecureBoot Disk
3-4
Super UEFIinSecureBoot Disk é uma imagem inicializável de prova de conceito (não mantida ativamente ou aprimorada) com carregador de inicialização GRUB2 projetado para ser usado como base para unidades flash USB de recuperação.
Recurso principal: o disco é totalmente funcional com o modo UEFI Secure Boot ativado. Ele pode iniciar qualquer sistema operacional ou arquivo .efi, mesmo com assinatura não confiável, inválida ou ausente.
Inicialização segura é um recurso do firmware UEFI projetado para proteger o processo de inicialização, evitando o carregamento de drivers ou carregadores de sistema operacional que não estejam assinados com uma assinatura digital aceitável.
A maioria dos computadores modernos vem com inicialização segura habilitada por padrão, o que é um requisito para o processo de certificação do Windows 10. Embora possa ser desativado em todas as placas-mãe típicas no menu de configuração UEFI, às vezes não é facilmente possível, por exemplo, devido à senha de configuração UEFI em um laptop corporativo que o usuário não conhece.
Este disco, após ser instalado em uma unidade flash USB e inicializado, desativa efetivamente os recursos de proteção do Secure Boot e permite temporariamente executar quase todas as ações com o PC como se o Secure Boot estivesse desativado. Isso pode ser útil para recuperação de dados, reinstalação do sistema operacional ou apenas para inicializar a partir de USB sem pensar em etapas adicionais.
Baixe o arquivo de imagem da página de lançamentos e grave-o em uma unidade flash USB usando um dos seguintes programas:
AVISO: todos os seus dados flash USB serão excluídos.
A imagem contém uma única partição FAT32 de 500 MiB. Use o gparted ou uma ferramenta semelhante para redimensioná-lo e obter espaço total na unidade USB.
A primeira inicialização em um PC com inicialização segura mostrará a caixa de mensagem de violação de acesso. Pressione OK e escolha a opção de menu "Inscrever certificado do arquivo". Selecione ENROLL_THIS_KEY_IN_MOKMANAGER.cer e confirme a inscrição do certificado.
Computadores sem inicialização segura inicializarão no GRUB sem intervenção manual.
Este disco funciona em inicialização segura?
Sim, é verdade. Ele carrega qualquer kernel Linux não assinado ou não confiável ou arquivo ou driver .efi, após o registro manual da chave na primeira inicialização usando o software MokManager. Você não precisa desabilitar a inicialização segura para realizar o registro da chave de inicialização.
Este disco funciona em computadores baseados em UEFI sem inicialização segura ou com inicialização segura desabilitada?
Sim, funcionaria como um GRUB2 padrão.
Este disco funciona em computadores mais antigos com BIOS?
Sim, funciona como qualquer outro bootloader GRUB2.
Este disco pode ser usado para ignorar a inicialização segura no bootkit/vírus UEFI?
Não, na verdade não. Este disco requer intervenção manual de um usuário físico na primeira inicialização, o que elimina a finalidade do bootkit de ser furtivo.
Posso substituir o GRUB por outro gerenciador de inicialização EFI (rEFInd, syslinux, systemd-boot)?
Sim, substitua grubx64_real.efi / grubia32_real.efi pelos seus arquivos. O bootloader não precisa ser assinado e também deve iniciar quaisquer arquivos .efi graças à Política de Segurança instalada por grubx64.efi / grubia32.efi (PreLoader), assim como GRUB2 incluído no disco.
O processo de inicialização UEFI deste disco é realizado em 3 etapas.
bootx64.efi (shim) → grubx64.efi (preloader) → grubx64_real.efi (grub2) → EFI file/OS
Estágio 1 : a placa-mãe carrega o calço. Shim é um carregador especial que apenas carrega o próximo executável, grubx64.efi (pré-carregador) no nosso caso. O Shim é assinado com a chave da Microsoft, o que permite que ele seja iniciado no modo Secure Boot em todas as placas-mãe de PC padrão.
Shim contém certificado Fedora incorporado (porque é extraído do repositório Fedora). Se o Secure Boot estiver habilitado, já que o grubx64.efi não está assinado com o certificado Fedora incorporado, o shim inicializa outro executável, o MokManager.efi, que é um software especial de gerenciamento de chaves shim. O MokManager pede ao usuário para prosseguir com o processo de registro de chave ou hash.
Versões mais recentes do shim instalam ganchos para funções UEFI LoadImage, StartImage, ExitBootServices e Exit para "fortalecer contra bootloaders não participantes", que devem ser ignorados para este caso de uso de disco. O shim do Fedora não instala políticas de segurança UEFI personalizadas, por isso não é possível carregar arquivos efi autoassinados do bootloader de segundo estágio, mesmo se você adicionar seus hashes ou certificados usando o MokManager.
Estágio 2 : o pré-carregador é um software semelhante ao shim. Ele também executa validação executável e carrega o próximo arquivo efi. O pré-carregador incluído neste disco é uma versão simplificada que executa apenas uma função: instalar a política de segurança UEFI permitida para todos. Isso permite o carregamento de executáveis efi arbitrários com funções LoadImage/StartImage UEFI, mesmo fora do GRUB (por exemplo, no UEFI Shell) e ignora o reforço de shim.
Estágio 3 : GRUB2 é um gerenciador de inicialização universal bem conhecido. Ele foi corrigido para carregar o kernel Linux sem verificação adicional (comandos linux/linuxefi), carregar binários .efi na memória e pular para seu ponto de entrada (comando chainloader) e para imitar o "bootloader participante" para shim.
Leia meu artigo sobre este tópico: Explorando bootloaders assinados para contornar o UEFI Secure Boot (também disponível em russo)
Super UEFIinSecureBoot Disk GRUB2 define a variável suisbd=1 . Ele poderia ser usado para detectar o GRUB2 corrigido do disco em um grub.conf compartilhado entre vários gerenciadores de inicialização.
Desde a versão 3, o GRUB usa o carregador de arquivos UEFI .efi padrão, pois há alguns problemas com a implementação do carregador interno. Para usar o carregador interno, adicione set efi_internal_loader=1 ao arquivo de configuração GRUB. Ambos os métodos podem carregar arquivos .efi não confiáveis.
