BootHole – Nová zranitelnost umožňuje skrýt malware v bootloaderu

4. 8. 2020 14:48

Sdílet

Touto chybou jsou postiženi uživatelé systémů Windows a Linux využívající GRUB2 bootloader.

Zranitelnost postihuje systémy využívající Secure Boot, dokonce i pokud nevyužívají GRUB2. Téměř veškeré podepsané verze GRUB2 jsou zranitelné, což v praxi znamená, že je v ohrožení jakákoliv Linuxová distribuce. 

Problém se týká také zařízení s Windows, která využívají Secure Boot se standardním Microsoft Third Party UEFI Certificate Authority. 

To je valná většina notebooků, desktopů a serverů, stejně jako specializované appliance ve všech odvětvích od výroby až po zdravotnictví. Všichni tito uživatelé jsou vystavení útoku vyžívajícímu závadný UEFI bootloader.  

Jaký je průběh? 

Zranitelnost zjednodušeně funguje na principu buffer overflow, ke kterému dojde v GRUB2 ve chvíli, kdy parsuje soubor grub.cfg. Celý tento proces je z pohledu uživatele prakticky nepozorovatelný, jelikož jediné, co je potřeba, je vyčkat na restart cílové stanice.

Uživatel si tak myslí, že instaluje aktualizace, a přitom se mu místo jeho běžného prostředí načítá závadný bootloader. Operační systém je poté navzdory útoku zcela beze změny a uživatel tak nemá šanci cokoliv poznat.   

Existuje řešení? 

Samozřejmě. Výrobci operačních systémů zareagovali vcelku rychle. Nicméně množí se ohlasy od uživatelů Linuxových distribucí jako Debian, Ubuntu, Red Hat, CentOS a Fedora, kteří mají problémy s bootem a dual-bootem.

V takovém případě uživatelé hlásí, že nejrychlejším řešením je downgrade na poslední stabilní verzi (zvrátit BootHole patch).  

 

Odkaz na celou analýzu zranitelnosti naleznete na webu datacom.cz

4. 8. 2020 14:48
Redakce nenese zodpovědnost za správnost a platnost uvedeného textu. Obsah vkládají distributoři a výrobci.