CYBER NEWS

CVE-2020-10713: BootHole-fout beïnvloedt vrijwel elke Linux-distributie

BootHole is een nieuwe kwetsbaarheid in de GRUB2-bootloader die door de meeste Linux-distributies wordt gebruikt. De kwetsbaarheid, CVE-2020-10713, kan worden gebruikt voor het uitvoeren van willekeurige code tijdens het opstartproces, zelfs als Secure Boot is ingeschakeld.

Als met succes geëxploiteerd, het beveiligingslek kan aanvallers de mogelijkheid bieden om persistente en heimelijke bootkits of kwaadaardige bootloaders te installeren. Eenmaal geïnstalleerd, deze zouden aanvallers bijna volledige controle kunnen geven over gecompromitteerde apparaten, Eclypsium-onderzoekers waarschuwen.

Systemen die worden beïnvloed door de BootHole (CVE-2020-10713) kwetsbaarheid

Het is opmerkelijk dat de kwetsbaarheid van invloed is op systemen die Secure Boot gebruiken, zelfs als ze GRUB2 niet gebruiken. Bijna alle ondertekende versies van GRUB2 zijn vatbaar voor aanvallen, wat betekent dat “vrijwel elke Linux-distributie wordt beïnvloed“. Bovendien, GRUB2 ondersteunt andere besturingssystemen, pitten, en hypervisors zoals Xen, waarschuwen de onderzoekers in hun rapport.

Het probleem strekt zich ook uit tot elk Windows-apparaat dat Secure Boot gebruikt met de standaard Microsoft Third Party UEFI Certificate Authority. Dus de meeste laptops, desktops, servers en werkstations worden getroffen, evenals netwerkapparatuur en andere speciale apparatuur die wordt gebruikt in de industrie, gezondheidszorg, financiële en andere industrieën. Deze kwetsbaarheid maakt deze apparaten vatbaar voor aanvallers, zoals de bedreigingsactoren die onlangs zijn ontdekt met kwaadaardige UEFI-bootloaders.

Het blijkt ook dat het opstartproces uiterst belangrijk is voor de beveiliging van elk apparaat. Het opstartproces wordt geassocieerd met firmware die de manier bepaalt waarop de componenten van het apparaat werken. Het coördineert ook het laden van het besturingssysteem. “Algemeen, de eerdere code wordt geladen, hoe meer bevoorrecht het is,” stelt het rapport.

Verwant: CVE-2020-7982: Door een beveiligingslek in OpenWRT Hiermee MITM Attacks

Hoe zit het met Secure Boot?

Secure Boot, in het bijzonder, gebruikt cryptografische handtekeningen om de integriteit van elk stuk code te verifiëren, omdat het nodig is tijdens het opstartproces. Bij dit proces zijn twee cruciale databases betrokken: “de Allow DB (db) van goedgekeurde componenten en de Disallow DB (dbx) van kwetsbare of kwaadaardige componenten, inclusief firmware, drivers, en bootloaders.”




q Toegang tot het wijzigen van deze databases wordt beschermd door een Key Exchange Key (CAKE), die op zijn beurt wordt geverifieerd door een platformsleutel (PK). Hoewel de PK wordt gebruikt als vertrouwensbasis voor updates van het platform, het maakt niet uitdrukkelijk deel uit van het opstartproces (maar wordt hieronder weergegeven ter referentie). Het is dbx, db, en KEK die worden gebruikt om de handtekeningen voor geladen uitvoerbare bestanden tijdens het opstarten te verifiëren.

De BootHole (CVE-2020-10713) kwetsbaarheid

Kortom, de fout is van het type buffer overflow, en het komt voor in GRUB2 bij het ontleden van het grub.cfg-bestand. “Dit configuratiebestand is een extern bestand dat zich gewoonlijk in de EFI-systeempartitie bevindt en daarom kan worden gewijzigd door een aanvaller met beheerdersrechten zonder de integriteit van de ondertekende leverancier shim en GRUB2 bootloader-uitvoerbare bestanden te wijzigen,” de onderzoekers verklaren.

De bufferoverloop stelt aanvallers in staat om willekeurige code uit te voeren binnen de UEFI-uitvoeringsomgeving. Dit kan vervolgens worden misbruikt om malware uit te voeren, verander het opstartproces, patch de OS-kernel direct, of voer een reeks andere kwaadaardige acties uit.

De onderzoekers zeggen dat ze de informatie gaan updaten beschikbaar in hun rapport nogmaals is bekend. Ze moedigen gebruikers en beheerders ook aan om zorgvuldig te letten op waarschuwingen en meldingen van hun hardwareleveranciers en relevante open-sourceprojecten.


In maart van dit jaar, beveiligingsonderzoekers ontdekten een 17-jaar oude bug bij het uitvoeren van externe code dat van invloed is op de PPP-daemon-software (pppd) in bijna alle Linux-besturingssystemen. De PPP daemon komt geïnstalleerd op een groot aantal Linux-distributies, en het is ook de bevoegdheden van de firmware van een reeks netwerkapparaten. De RCE-kwetsbaarheid, CVE-2020-8597, werd ontdekt door IOActive-beveiligingsonderzoeker Ilja Van Sprundel.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...