CYBER NEWS

CVE-2020-10.713: BootHole-fejl påvirker stort set enhver Linux-distribution

BootHole er en ny sårbarhed i GRUB2 bootloader brugt af de fleste Linux-distributioner. Sårbarheden, CVE-2020-10.713, kan udnyttes til arbitrær kodeudførelse under startprocessen, selv med Secure Boot aktiveret.

Hvis udnyttes med succes, sårbarheden kan give angribere mulighed for at installere vedvarende og snedige bootkits eller ondsindede bootloaders. Når det er installeret, disse kunne give angribere næsten fuld kontrol over kompromitterede enheder, Eclypsium-forskere advarer.

Systemer, der er berørt af BootHole (CVE-2020-10.713) sårbarhed

Det er bemærkelsesværdigt, at sårbarheden påvirker systemer, der bruger Secure Boot, selv i tilfælde af at de ikke bruger GRUB2. Næsten alle underskrevne versioner af GRUB2 er tilbøjelige til angrebet, hvilket betyder at “stort set alle Linux-distributioner påvirkes“. Endvidere, GRUB2 understøtter andre operativsystemer, kerner, og hypervisorer såsom Xen, advarer forskerne i deres rapport.

Problemet udvides også til enhver Windows-enhed, der bruger Secure Boot med standard Microsoft Third Party UEFI Certificate Authority. Således er størstedelen af ​​bærbare computere, desktops, servere og arbejdsstationer påvirkes, samt netværksapparater og andet specielt udstyr, der bruges i industrien, sundhedspleje, finansielle og andre industrier. Denne sårbarhed gør disse enheder følsomme over for angribere som truslen skuespillere for nylig opdagede ved hjælp af ondsindede UEFI bootloaders.

Det viser sig også, at startprocessen er ekstremt vigtig for sikkerheden på enhver enhed. Startprocessen er forbundet med firmware, der styrer den måde, enhedens komponenter fungerer på. Det koordinerer også indlæsningen af ​​operativsystemet. “Generelt, den tidligere kode indlæses, jo mere privilegeret er det,” ifølge rapporten.

Relaterede: CVE-2020-7982: Svaghed i OpenWrt Giver MITM angreb

Hvad med Secure Boot?

Sikker Boot, især, anvender kryptografiske signaturer til at verificere integriteten af ​​hvert kodestykke, fordi det er nødvendigt under opstartprocessen. To kritiske databaser er involveret i denne proces: “Tillad DB (db) af godkendte komponenter og Disallow DB (dbx) af sårbare eller ondsindede komponenter, inklusive firmware, drivere, og bootloaders.”




q Adgang til at ændre disse databaser er beskyttet af en Key Exchange Key (KAGE), som igen bekræftes af en platformtast (PK). Selvom PK bruges som en rod til tillid til opdateringer til platformen, det er ikke udtrykkeligt en del af startprocessen (men er vist nedenfor til reference). Det er dbx, db, og KEK, der bruges til at verificere underskrifterne for indlæste eksekverbare filer på starttidspunktet.

BootHole (CVE-2020-10.713) sårbarhed

Kort, fejlen er af typen bufferoverløb, og det forekommer i GRUB2, når man analyserer grub.cfg-filen. “Denne konfigurationsfil er en ekstern fil, der almindeligvis findes i EFI System Partition og kan derfor ændres af en angriber med administratorrettigheder uden at ændre integriteten af ​​den underskrevne leverandør shim og GRUB2 bootloader eksekverbare,” forskerne forklare.

Bufferoverløbet giver angribere mulighed for at udføre vilkårlig kodeudførelse i UEFI-eksekveringsmiljøet. Dette kan derefter udnyttes til at køre malware, ændre startprocessen, direkte patch OS-kernen, eller udfør en række andre ondsindede handlinger.

Forskerne siger, at de vil opdatere informationen tilgængelig i deres rapport endnu en gang kendes. De opfordrer også brugere og administratorer til at se nøje efter advarsler og underretninger fra deres hardwareleverandører og relevante open source-projekter.


I marts i år, sikkerhedsforskere opdagede a 17-år gammel ekstern kodeudførelsesfejl der påvirker PPP-dæmonsoftwaren (pppd) i næsten alle Linux-operativsystemer. PPP-dæmonen kommer installeret på en bred vifte af Linux-distributioner, og det også magter den firmware af en række netværksenheder. RCE-sårbarheden, CVE-2020-8597, blev opdaget af IOActive sikkerhedsforsker Ilja Van Sprundel.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...