广泛使用的引导加载程序中的错误打开了Windows和Linux设备,以持久地折衷

广泛使用的GRUB2引导加载程序中的漏洞(CVE-2020-10713)会打开当今使用的大多数Linux和Windows系统,以持久地危害他们, Eclypsium 研究人员已经发现。受影响的系统列表包括服务器和工作站,笔记本电脑和台式机,可能还有大量基于Linux的OT和IoT系统。

 CVE-2020-10713

什么’更重要的是,此漏洞的发现促使人们更加努力地审核GRUB2代码中的缺陷,结果,发现了7个CVE编号的缺陷以及许多其他没有CVE的缺陷(并且已经或将要修复) 。

BootHole(CVE-2020-10713)

CVE-2020-10713 ,名为“BootHole”发现该漏洞的研究人员可以使用它来安装持久和隐秘的引导程序包或恶意引导加载程序,即使启用了安全引导保护机制并可以正常运行,它们也可以运行。

“该漏洞会影响使用安全启动的系统,即使它们未使用GRUB2。几乎所有已签名的GRUB2版本都容易受到攻击,这意味着几乎每个Linux发行版都会受到影响,”研究人员解释说。

“另外,GRUB2支持其他操作系统,内核和管理程序,例如Xen。该问题还扩展到将安全启动与标准的Microsoft第三方UEFI证书颁发机构一起使用的所有Windows设备。因此,大多数笔记本电脑,台式机,服务器和工作站,以及工业,医疗保健,金融和其他行业中使用的网络设备和其他专用设备均受到影响。此漏洞使这些设备容易受到攻击者的攻击,例如最近使用恶意UEFI引导加载程序发现的威胁参与者。”

研究人员做得很好 解释 详细说明为什么,为什么,在何处以及如何出现此漏洞等 做了 Kelly Shortridge,产品管理和产品策略副总裁 胶囊8 。问题实际上在于,攻击者可以修改GRUB2配置文件,以确保在加载操作系统之前运行他们自己的恶意代码。

唯一的好消息是该漏洞可以’不能被远程利用。攻击者必须首先获得系统的立足点,并将特权升级为root / admin才能利用它。或者,他们必须对目标系统具有物理访问权限。

根据肖特里奇的说法,真正的危险是,如果犯罪分子将此漏洞纳入引导包,将其许可给机器人编写者,后者将部署或出售配备了bootkit的机器人。

“该管道不会在一夜之间弹出垃圾,因此问题就在于,在罪犯扩大攻击范围之前,是否可以成功实施缓解措施,” she 注意到的 .

复杂的缓解过程

主要问题是,在如此众多的系统上修复此缺陷将是一项庞大,复杂且部分手动的工作。

“要完全缓解此问题,需要多个实体的共同努力:受影响的开源项目,Microsoft和受影响的系统的所有者,”石膏研究人员指出。

“这将包括:更新GRUB2以解决该漏洞; 的Linux 发行版和其他使用GRUB2的供应商将需要更新其安装程序,引导程序和填充程序(一个小型​​应用程序,其中包含供应商的证书和验证和运行GRUB2引导程序的代码);新垫片将需要由Microsoft第三方UEFI CA签名;受影响设备的管理员将需要在现场更新操作系统的已安装版本以及安装程序映像,包括灾难恢复介质;最终需要在每个受影响的系统的固件中更新UEFI吊销列表(dbx),以防止在引导过程中运行此易受攻击的代码。”

同样,Eclypsium和Shortridge都详细地解释了整个过程及其对组织的危害。除了缓解过程的复杂过程外,组织还应该监视其系统,以发现威胁和勒索软件使用易受攻击的引导加载程序感染或破坏系统。

Eclypsium 研究人员提供了建议,并已与Microsoft,Debian,Canonical,Red Hat,HPE,SUSE,VMware和需要帮助用户和管理员解决问题的其他人员的各种参考资料建立了链接。

他们’ve还具有powershell和bash脚本,可帮助管理员在推出CVE-2020-10713的安全更新时识别各种操作系统供应商撤消的证书。

其他发现的漏洞

After being notified of the existence of BootHole, 典范 (the company that develops 的Ubuntu ) and others went in 搜索 for other security holes in GRUB2. 他们 discovered 七个相关漏洞,其缓解措施已包含在今天发布的Ubuntu和其他主要Linux发行版本中。

“鉴于这种在整个生态系统范围内进行更新/吊销的难度很大,因此强烈希望避免六个月后再做一次,”石膏研究人员指出。

“为此,使用静态分析工具和手动审核进行了巨大的努力-横跨Oracle,Red Hat,Canonical,VMware和Debian的多个安全团队-帮助发现并修复了整个代码库中许多尚不存在的漏洞和危险操作分配了单独的CVE。”

更新(太平洋时间2020年7月31日,凌晨2:45):

的Ubuntu ,Debian,Red Hat,CentOS和Mint为CVE-2020-10713提供的补丁程序阻止了系统启动。

“不幸的是,所提供的解决方案再次变得比大多数人的漏洞更严重,” 注意到的 Microsoft网络安全专业人员Kevin Beaumont。

“安全性(以及业务方面)的首要问题是可用性。作为一个行业,我们还需要更好地仔细分析漏洞以及对补丁进行交错测试。

分享这个