CYBER NEWS

CVE-2020-10713: BootHole-Fehler betrifft praktisch jede Linux-Distribution

BootHole ist eine neue Sicherheitsanfälligkeit im GRUB2-Bootloader, die von den meisten Linux-Distributionen verwendet wird. Die Sicherheitslücke, CVE-2020-10713, kann für die Ausführung von beliebigem Code während des Startvorgangs ausgenutzt werden, auch bei aktiviertem Secure Boot.

Wenn ausgebeutet erfolgreich, Die Sicherheitsanfälligkeit kann Angreifern die Möglichkeit geben, dauerhafte und versteckte Bootkits oder böswillige Bootloader zu installieren. Einmal installiert, Diese könnten Angreifern nahezu die volle Kontrolle über gefährdete Geräte geben, Eclypsium-Forscher warnen.

Vom BootHole betroffene Systeme (CVE-2020-10713) Verwundbarkeit

Es ist bemerkenswert, dass die Sicherheitsanfälligkeit Systeme betrifft, die Secure Boot verwenden, auch für den Fall, dass sie GRUB2 nicht verwenden. Fast alle signierten Versionen von GRUB2 sind anfällig für Angriffe, was bedeutet, dass “Nahezu jede Linux-Distribution ist betroffen“. Weiter, GRUB2 unterstützt andere Betriebssysteme, Kernel, und Hypervisoren wie Xen, Die Forscher warnen in ihrem Bericht.

Das Problem betrifft auch alle Windows-Geräte, die Secure Boot mit der standardmäßigen Microsoft Third Party UEFI Certificate Authority verwenden. Also die meisten Laptops, Desktops, Server und Workstations sind betroffen, sowie Netzwerkgeräte und andere Spezialgeräte für die Industrie, Gesundheitswesen, Finanz- und andere Branchen. Diese Sicherheitsanfälligkeit macht diese Geräte anfällig für Angreifer wie die kürzlich mit böswilligen UEFI-Bootloadern entdeckten Bedrohungsakteure.

Es stellt sich auch heraus, dass der Startvorgang für die Sicherheit eines Geräts äußerst wichtig ist. Der Startvorgang ist mit einer Firmware verbunden, die die Funktionsweise der Gerätekomponenten steuert. Es koordiniert auch das Laden des Betriebssystems. “Im Allgemeinen, Der frühere Code wird geladen, desto privilegierter ist es,” der Bericht fest.

verbunden: CVE-2020-7982: Vulnerability in OpenWRT Ermöglicht MITM-Angriffe

Was ist mit Secure Boot??

Sicherer Startvorgang, insbesondere, Verwendet kryptografische Signaturen, um die Integrität jedes Codeteils zu überprüfen, weil es während des Startvorgangs benötigt wird. An diesem Prozess sind zwei kritische Datenbanken beteiligt: “die DB zulassen (db) von zugelassenen Komponenten und der Disallow DB (dbx) von anfälligen oder böswilligen Komponenten, einschließlich Firmware, Treiber, und Bootloader.”




q Der Zugriff zum Ändern dieser Datenbanken ist durch einen Schlüsselaustauschschlüssel geschützt (CAKE), Dies wird wiederum durch einen Plattformschlüssel überprüft (PK). Obwohl die PK als Vertrauensbasis für Updates der Plattform verwendet wird, Dies ist nicht ausdrücklich Teil des Startvorgangs (wird aber unten als Referenz gezeigt). Es ist dbx, db, und KEK, mit denen die Signaturen für geladene ausführbare Dateien beim Start überprüft werden.

Das BootHole (CVE-2020-10713) Verwundbarkeit

Zusamenfassend, Der Fehler ist vom Typ Pufferüberlauf, und es tritt in GRUB2 auf, wenn die Datei grub.cfg analysiert wird. “Diese Konfigurationsdatei ist eine externe Datei, die sich normalerweise in der EFI-Systempartition befindet und daher von einem Angreifer mit Administratorrechten geändert werden kann, ohne die Integrität der signierten Shim- und GRUB2-Bootloader-ausführbaren Dateien des Anbieters zu ändern,” die Forscher erklären.

Der Pufferüberlauf ermöglicht es Angreifern, eine beliebige Codeausführung innerhalb der UEFI-Ausführungsumgebung durchzuführen. Dies könnte dann ausgenutzt werden, um Malware auszuführen, Ändern Sie den Startvorgang, Patchen Sie den OS-Kernel direkt, oder führen Sie eine Reihe anderer böswilliger Aktionen aus.

Die Forscher sagen, dass sie die Informationen aktualisieren werden in ihrem Bericht verfügbar ist wieder bekannt. Sie ermutigen Benutzer und Administratoren außerdem, sorgfältig auf Warnungen und Benachrichtigungen ihrer Hardwareanbieter und relevanter Open-Source-Projekte zu achten.


Im März dieses Jahres, Sicherheitsforscher entdeckten a 17-einjähriger Fehler bei der Ausführung von Remotecode Dies wirkt sich auf die PPP-Daemon-Software aus (pppd) in fast allen Linux-Betriebssystemen. Der PPP-Daemon auf einer breiten Palette von Linux-Distributionen installiert kommt, und es treibt auch die Firmware einer Reihe von Netzwerkgeräten. Die RCE-Sicherheitsanfälligkeit, CVE-2020-8597, wurde von der IOActive-Sicherheitsforscherin Ilja Van Sprundel entdeckt.

Milena Dimitrova

Milena Dimitrova

Ein inspirierter Schriftsteller und Content-Manager, der seit Anfang an mit SensorsTechForum gewesen. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Frist ist erschöpft. Bitte laden CAPTCHA.

Auf Facebook teilen Teilen
Loading ...
Empfehlen über Twitter Tweet
Loading ...
Share on Google Plus Teilen
Loading ...
Share on Linkedin Teilen
Loading ...
Empfehlen über Digg Teilen
Teilen auf Reddit Teilen
Loading ...
Empfehlen über Stumbleupon Teilen
Loading ...