BootHole est une nouvelle vulnérabilité dans le chargeur de démarrage GRUB2 utilisé par la plupart des distributions Linux. La vulnérabilité, CVE-2020-10713, peut être exploité pour l'exécution de code arbitraire pendant le processus de démarrage, même avec Secure Boot activé.
Si elle est exploitée avec succès, la vulnérabilité pourrait donner aux attaquants la possibilité d'installer des bootkits persistants et furtifs ou des bootloaders malveillants. Une fois installé, ceux-ci pourraient donner aux attaquants un contrôle presque total sur les appareils compromis, Les chercheurs d'Eclypsium mettent en garde.
Systèmes affectés par le BootHole (CVE-2020-10713) vulnérabilité
Il est à noter que la vulnérabilité affecte les systèmes utilisant Secure Boot, même s'ils n'utilisent pas GRUB2. Presque toutes les versions signées de GRUB2 sont sujettes à l'attaque, ce qui signifie que “pratiquement toutes les distributions Linux sont affectées“. En outre, GRUB2 prend en charge d'autres systèmes d'exploitation, graines, et des hyperviseurs tels que Xen, les chercheurs mettent en garde dans leur rapport.
Le problème s'étend également à tout appareil Windows qui utilise Secure Boot avec l'autorité de certification Microsoft Third Party UEFI standard. Ainsi la majorité des ordinateurs portables, ordinateurs de bureau, les serveurs et les postes de travail sont affectés, ainsi que les appareils de réseau et autres équipements spéciaux utilisés dans l'industrie, soins de santé, industries financières et autres. Cette vulnérabilité rend ces appareils vulnérables aux attaquants tels que les acteurs de la menace récemment découverts à l'aide de bootloaders UEFI malveillants.
Il s'avère également que le processus de démarrage est extrêmement important pour la sécurité de tout appareil. Le processus de démarrage est associé au micrologiciel qui contrôle le fonctionnement des composants de l’appareil. Il coordonne également le chargement du système d'exploitation. “En général, le code précédent est chargé, plus c'est privilégié,” les notes de rapport.
Qu'en est-il du démarrage sécurisé?
Démarrage sécurisé, en particulier, utilise des signatures cryptographiques pour vérifier l'intégrité de chaque morceau de code, car il est nécessaire pendant le processus de démarrage. Deux bases de données critiques sont impliquées dans ce processus: “le Allow DB (db) des composants approuvés et le Disallow DB (dbx) de composants vulnérables ou malveillants, y compris le firmware, conducteurs, et chargeurs de démarrage.”
q L'accès pour modifier ces bases de données est protégé par une clé d'échange de clé (CAKE), qui à son tour est vérifié par une clé de plate-forme (PK). Bien que le PK soit utilisé comme racine de confiance pour les mises à jour de la plate-forme, cela ne fait pas expressément partie du processus de démarrage (mais est montré ci-dessous pour référence). C'est dbx, db, et KEK qui sont utilisés pour vérifier les signatures des exécutables chargés au moment du démarrage.
Le BootHole (CVE-2020-10713) vulnérabilité
En bref, la faille est de type buffer overflow, et cela se produit dans GRUB2 lors de l'analyse du fichier grub.cfg. “Ce fichier de configuration est un fichier externe généralement situé dans la partition système EFI et peut donc être modifié par un attaquant avec des privilèges d'administrateur sans altérer l'intégrité du shim du fournisseur signé et des exécutables du chargeur de démarrage GRUB2,” les chercheurs expliquent.
Le débordement de tampon permet aux attaquants d'exécuter du code arbitraire dans l'environnement d'exécution UEFI. Cela pourrait alors être exploité pour exécuter des logiciels malveillants, modifier le processus de démarrage, patcher directement le noyau du système d'exploitation, ou effectuez une série d'autres actions malveillantes.
Les chercheurs disent qu'ils mettront à jour les informations disponible dans leur rapport une fois de plus est connu. Ils encouragent également les utilisateurs et les administrateurs à surveiller attentivement les alertes et les notifications de leurs fournisseurs de matériel et les projets open source pertinents..
En Mars de cette année, les chercheurs en sécurité ont découvert un 17-bogue d'exécution de code à distance vieux d'un an qui a un impact sur le logiciel démon PPP (pppd) dans presque tous les systèmes d'exploitation Linux. Le démon PPP vient installé sur une large gamme de distributions Linux, et il alimente également le firmware d'une gamme de périphériques réseau. La vulnérabilité RCE, CVE-2020-8597, a été découvert par la chercheuse en sécurité IOActive Ilja Van Sprundel.