數(shù)十億Windows和Linux設(shè)備受到“ BootHole”漏洞的影響！

據(jù)報(bào)道，固件安全公司Eclypsium于7月31日宣布，數(shù)十億Windows和Linux設(shè)備將受到GRUB2引導(dǎo)加載程序中嚴(yán)重漏洞的影響，該漏洞可被利用。 由攻擊者安裝持久性可以使用和隱藏的惡意軟件。 該漏洞被跟蹤為名為BootHole的CVE-2020-10713，CVSS分?jǐn)?shù)為8.2。 Eclypsium表示，這會(huì)影響將GRUB2與Secure Boot一起使用的所有操作系統(tǒng)。

研究人員表示，BootHole允許攻擊者在引導(dǎo)加載過程中篡改GRUB2組件，從而有效地使攻擊者植入可以完全控制操作系統(tǒng)的代碼，該代碼將在需要時(shí)啟動(dòng)。這種類型的惡意軟件通常被稱為Bootkit，因?yàn)樗钤贐ootloader、主板物理內(nèi)存中，因?yàn)樗嬖诘奈恢门c實(shí)際操作系統(tǒng)的位置分開，從而可以使其在重新安裝OS過程中幸免。

根據(jù)Eclypsium的說法，實(shí)際的BootHole漏洞位于grub.cfg，即與實(shí)際的GRUB2組件分開的配置的文件內(nèi)部。Eclypsium表示，攻擊者可以修改此文件中的值，以在每次操作系統(tǒng)啟動(dòng)時(shí)讀取GRUB2組件內(nèi)的文件時(shí)觸發(fā)緩沖區(qū)溢出。下圖顯示了BootHole攻擊的簡(jiǎn)化說明，攻擊者可以從其中的一個(gè)或多個(gè)grub.cfg選項(xiàng)中竊取“溢出”代碼，以在GRUB2組件內(nèi)執(zhí)行惡意命令。

隨后，Eclypsium還表示，BootHole可能被用于篡改引導(dǎo)加載程序，甚至可以將其替換為惡意或易受攻擊的版本。更糟糕的是，即使服務(wù)器或工作站啟用了安全啟動(dòng)，BootHole攻擊也可以進(jìn)行，因?yàn)閷?duì)于某些設(shè)備或操作系統(tǒng)設(shè)置，安全啟動(dòng)過程不會(huì)對(duì)grub.cfg文件進(jìn)行加密驗(yàn)證，從而使攻擊者可以篡改其內(nèi)容。目前，該漏洞影響了全球大多數(shù)筆記本電腦，臺(tái)式機(jī)，工作站和服務(wù)器設(shè)備以及醫(yī)療，工業(yè)和金融部門使用的網(wǎng)絡(luò)設(shè)備和設(shè)備。

在過去的幾個(gè)月中，Eclypsium一直在向整個(gè)硬件和軟件生態(tài)系統(tǒng)通報(bào)有關(guān)BootHole(CVE-2020-10713)的信息。該公司估計(jì)每個(gè)Linux發(fā)行版都會(huì)受到此漏洞的影響，因?yàn)樗蠰inux發(fā)行版都使用GRUB2引導(dǎo)程序，這些引導(dǎo)程序從外部grub.cfg文件讀取命令。迄今為止，已知有80多種墊片受到影響，研究小組補(bǔ)充說：“除了Linux系統(tǒng)外，任何將安全啟動(dòng)與標(biāo)準(zhǔn)Microsoft UEFI CA一起使用的系統(tǒng)都容易受到此問題的影響。”

目前，Eclypsium已與Microsoft，Linux發(fā)行版，UEFI安全響應(yīng)團(tuán)隊(duì)，OEM，CERT，VMware，Oracle和其他受影響的軟件供應(yīng)商協(xié)調(diào)了該漏洞的披露事宜。Eclypsium還表示，漏洞的修補(bǔ)程序?qū)⒒ㄙM(fèi)很長(zhǎng)時(shí)間，因?yàn)樾迯?fù)Bootloader錯(cuò)誤通常是一個(gè)復(fù)雜的過程，該過程涉及許多組件和高級(jí)加密。從今天開始以及未來幾天和幾周內(nèi)，各種IT公司都將會(huì)發(fā)布補(bǔ)丁程序以解決其產(chǎn)品中的BootHole漏洞問題。