Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Уязвимость в GRUB2 позволяет прятать вредоносное по на Linux- и Windows-ПК

31/07/20

hack5-1Практически все версии популярного загрузчика GRUB2, используемого в большинстве дистрибутивов Linux, подвержены опасной уязвимости. С ее помощью злоумышленник может скомпрометировать процесс загрузки операционной системы даже при включенном режиме безопасной загрузки (Secure Boot).

Уязвимость ( CVE-2020-10713 ), получившая название BootHole, была обнаружена специалистами компании Eclypsium. Проблема представляет собой уязвимость переполнения буфера и существует из-за того, как GRUB2 осуществляет синтаксический анализ содержимого своего конфигурационного файла grub.cfg, хранящегося в системном разделе EFI.

Злоумышленник может модифицировать grub.cfg, поскольку он обычно представляет собой текстовый файл без механизмов защиты целостности, таких как цифровая подпись, использующаяся для других компонентов загрузчика. Изменение конфигурационного файла загрузчика позволяет получить контроль над процессом загрузки ОС. Через BootHole атакующий может выполнить в GRUB2 произвольный код и внедрить буткит – вредоносное ПО, загружающееся перед ОС.

Компрометация системы с помощью данного метода обеспечивает вредоносному ПО привилегии наивысшего уровня и позволяет избежать обнаружения решениями безопасности. Более того, оно становится персистентным и остается на компьютере даже после переустановки ОС. Однако для того, чтобы модифицировать конфигурационный файл, у атакующего должны быть права администратора.

По словам представителей Eclypsium, только один поставщик загрузчиков добавил кастомный код для проверки подписи файла Eclypsium grub.cfg поверх механизма верификации исполняемого файла GRUB2. Это значит, что уязвимыми являются все версии GRUB2, загружающие команды из внешнего конфигурационного файла. Хотя загрузчик связан с Linux, проблема также затрагивает системы с двойной загрузкой под управлением Windows.

Исследователи полагают, что BootHole влияет на большинство современных систем, в том числе серверы, рабочие станции, ноутбуки, настольные компьютеры, IoT-устройства на базе Linux и аппаратное обеспечение операционных технологий.

Темы:WindowsLinuxУгрозыEclypsium
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...