严重的Boothle漏洞将数百万系统的风险置于风险
Eclypsium的安全研究人员披露了GRUB2引导加载程序中的严重漏洞,即网络犯罪分子可以使用在引导过程中Linux系统的“接近总控制”,并安装“持久性和隐秘”的BOOTKITS或恶意引导程序,即使它也会运行安全启动已启用并正常运行。
Dubbed Boothole,8.2 CVSS-Rated CVE-2020-10713漏洞影响了使用几乎每个签名版本的Grub2的系统,这意味着几乎每个Linux发行版都受到影响。
然而,问题被认为是比Linux - Grub2更广泛的更广泛,也用于支持其他操作系统,核和虚拟机管理程序,如Xen,并且该问题也扩展到任何使用安全启动的Windows设备,其中包含标准的Microsoft第三个派对统一可扩展固件界面(UEFI)证书颁发机构 - 因此大多数笔记本电脑,台式机,服务器和工作站都存在风险。
ECLYPSIUP表示,预计Microsoft,UEFI安全响应团队,甲骨文,红帽,规范,SUE,Debian,Citrix,VMware和一些其他OEM和软件供应商都将释放。
因为启动过程是计算机如何工作的基本上重要的一部分,所以能够危及它意味着攻击者可以控制整个系统的操作系统如何加载和颠覆存在的任何更高层次的安全控制。
此特定错误是GRUB2如何从其配置文件解析内容的缓冲区溢出漏洞。这使得GRUB2内的任意代码执行并控制引导过程。它需要一个攻击者具有提升的权限,但是,由于结果,允许它们修改配置文件的内容,以确保在操作系统加载之前运行攻击代码,并且不管安全引导的存在或功能如何,请再次在设备上持久性。
最终,成功利用该漏洞的演员可以使用它来执行各种其他恶意操作,包括exfiltrated数据或安装恶意软件或勒索软件。
“Eclypsium协调了该漏洞的负责任披露,包括OS供应商,计算机制造商和证书,包括OS供应商,计算机制造商和证书,”该公司在披露博客文章中表示,可以在这里全面阅读。
“缓解将需要签名和部署的新引导加载程序,并且应该撤销易受攻击的引导加载程序,以防止对攻击中的旧漏洞版本的对手,”它说。“这可能是一个很长的过程,并为组织完成修补的相当长的时间。”
有许多原因,尤其是与UEFI相关的更新具有砖头设备的显着历史,并且必须匆忙撤回,因此受影响的人需要谨慎地进行。
Eclypsium建议IT和安全团队检查以确保他们有适当的能力,用于监控UEFI引导程序和固件,并在其系统中验证UEFI配置,并将恢复功能彻底测试为更新(包括出厂重置设置)。
与此同时,重要的是要广泛监测任何威胁或者已知使用易受攻击的引导加载程序来感染目标。
SUSE发言人评论了:“我们意识到今天称为Boothole的Linux脆弱性,我们的客户和合作伙伴可以放心,我们发布了固定的Grub2软件包,该软件包关闭了今天所有SUSE Linux产品的Boothole漏洞,并释放了Linux内核的相应更新包,云图像和安装媒体。
“鉴于对引导加载程序的物理访问的需要,最可能的曝光是当不可信的用户可以访问机器时,例如,在公共空格中的分类计算场景或计算机中的糟糕演员,在无人值守的售货亭模式下运行。为确保复杂的攻击者无法重新安装Grub2的旧版本,软件和硬件供应商正在一起工作。SUSE Linux Enterprise为企业提供了前所未有的可靠性,稳定性和安全性,我们致力于将客户和合作伙伴的系统保持最新,并准备处理日常业务挑战。“
Canonical的安全总监Joe McManus补充说:“CVE-2020-10713是一个有趣的脆弱性。由于Eclypsium,我们在Canonical,以及其余的开源社区以及更新Grub2来防御这种脆弱性。在此过程中,我们在GRUB2中确定了7个漏洞,这也将在今天发布的更新中修复。攻击本身不是远程利用,它需要攻击者具有root权限。考虑到这一点,我们不会看到它是野外使用的流行脆弱性。然而,这种努力确实举例说明了社区的精神,使开源软件如此安全。“