การโจมตี 'BootHole' ส่งผลกระทบต่อระบบ Windows และ Linux ที่ใช้ GRUB2 และ Secure Boot

i Am my know? ฉันรู้! 13 สิงหาคม

Microsoft, Red Hat, Canonical, SuSE, Oracle, VMWare, Citrix และ OEM หลายรายคาดว่าจะออกแพตช์ BootHole

การรักษาความปลอดภัยของ Windows 10: 'ดีมากสามารถปิดกั้นศูนย์วันโดยไม่ต้องมีการแก้ไข'

การรักษาความปลอดภัยของ Windows 10: 'ดีมากสามารถปิดกั้นศูนย์วันโดยไม่ต้องมีการแก้ไข'

ระบบที่รันการอัปเดตครบรอบ 10 ปีของ Windows ได้รับการป้องกันจากสองช่องโหว่ก่อนที่ Microsoft จะออกแพตช์สำหรับพวกเขานักวิจัยพบ

อ่านเพิ่มเติม

รายละเอียดเกี่ยวกับช่องโหว่ใหม่ในองค์ประกอบหลักของกระบวนการ Secure Boot ได้รับการเผยแพร่แล้วในวันนี้

ช่องโหว่ซึ่งมีชื่อรหัสว่าBootHoleช่วยให้ผู้โจมตีสามารถแทรกแซงกระบวนการโหลดบูตที่ก่อนหน้าการเริ่มระบบปฏิบัติการจริง (OS)

กระบวนการนี้อาศัยส่วนประกอบที่เรียกว่า bootloaders ซึ่งรับผิดชอบในการโหลดเฟิร์มแวร์ของส่วนประกอบฮาร์ดแวร์คอมพิวเตอร์ทั้งหมดที่ระบบปฏิบัติการจริงทำงานอยู่

BootHole เป็นช่องโหว่ในGRUB2ซึ่งเป็นหนึ่งในส่วนประกอบ bootloader ที่ได้รับความนิยมมากที่สุดในปัจจุบัน ปัจจุบัน GRUB2 ใช้เป็น bootloader หลักสำหรับ Linux distros ที่สำคัญทั้งหมด แต่ยังสามารถบูตได้และบางครั้งก็ใช้กับระบบที่ใช้ Windows, macOS และ BSD ได้เช่นกัน

BOOTHOLE ทำงานอย่างไร

ช่องโหว่ BootHole ถูกค้นพบเมื่อต้นปีนี้โดยนักวิจัยด้านความปลอดภัยจาก Eclypsium รายละเอียดทางเทคนิคฉบับเต็มจริงเกี่ยวกับข้อบกพร่องได้รับการเผยแพร่ในบล็อก Eclypsium แล้ววันนี้

นักวิจัยกล่าวว่า BootHole ช่วยให้ผู้โจมตีสามารถแทรกแซงคอมโพเนนต์ GRUB2 เพื่อแทรกและรันโค้ดที่เป็นอันตรายในระหว่างขั้นตอนการโหลดบูตช่วยให้ผู้โจมตีสามารถสร้างโค้ดของโรงงานที่มีการควบคุมระบบปฏิบัติการได้อย่างเต็มรูปแบบโดยเปิดตัวในภายหลัง

โดยทั่วไปแล้วมัลแวร์ประเภทนี้เรียกว่าbootkitเนื่องจากมันอาศัยอยู่ใน bootloaders ในหน่วยความจำกายภาพของเมนบอร์ดในตำแหน่งที่แยกจากระบบปฏิบัติการจริงทำให้สามารถติดตั้งระบบปฏิบัติการใหม่ได้

ตาม Eclypsium ช่องโหว่ BootHole ที่แท้จริงอยู่ภายใน grub.cfg ซึ่งเป็นไฟล์คอนฟิกูเรชันแยกจากคอมโพเนนต์ GRUB2 จริงจากที่ bootloader ดึงการตั้งค่าเฉพาะระบบ Eclypsium กล่าวว่าผู้โจมตีสามารถแก้ไขค่าในไฟล์นี้เพื่อทริกเกอร์บัฟเฟอร์ล้นภายในคอมโพเนนต์ GRUB2 เมื่ออ่านไฟล์ในทุกการบูตระบบปฏิบัติการ

ภาพด้านล่างแสดงคำอธิบายที่เรียบง่ายเกี่ยวกับการโจมตี BootHole ซึ่งผู้โจมตีสามารถใช้โค้ด "ล้น" จากตัวเลือก grub.cfg หนึ่งตัวหรือมากกว่าเพื่อดำเนินการคำสั่งที่เป็นอันตรายภายในคอมโพเนนต์ GRUB2

boothole-details.png

Eclypsium กล่าวว่า BootHole สามารถใช้ (ab) เพื่อยุ่งเกี่ยวกับ bootloader หรือแม้แต่แทนที่ด้วยเวอร์ชันที่เป็นอันตรายหรือมีช่องโหว่

boothole-attack.png

ทำให้เรื่องแย่ลง Eclypsium กล่าวว่าการโจมตี BootHole ยังทำงานได้แม้ว่าเซิร์ฟเวอร์หรือเวิร์กสเตชันจะเปิดใช้งาน Secure Boot ก็ตาม

Secure Boot คือกระบวนการที่เซิร์ฟเวอร์ / คอมพิวเตอร์ใช้การตรวจสอบการเข้ารหัสเพื่อให้แน่ใจว่าขั้นตอนการบูตโหลดเฉพาะส่วนประกอบเฟิร์มแวร์ที่เซ็นชื่อแบบเข้ารหัสเท่านั้น

การโจมตี BootHole ทำงานได้แม้จะเปิดใช้งาน Secure Boot เนื่องจากสำหรับอุปกรณ์หรือการตั้งค่าระบบปฏิบัติการบางอย่างกระบวนการ Secure Boot จะไม่ตรวจสอบไฟล์ grub.cfg แบบเข้ารหัสทำให้ผู้โจมตีสามารถแทรกแซงเนื้อหาได้

boothole ปลอดภัย-boot.png

ข้อ จำกัด บางประการของการโจมตีนี้ยังมีอยู่ Eclypsium กล่าวว่าผู้โจมตีต้องการการเข้าถึงระดับผู้ดูแลระบบเพื่อที่จะยุ่งเกี่ยวกับไฟล์ grub.cfg สิ่งนี้ดูเหมือนเป็นข้อ จำกัด แต่ในความเป็นจริงมันไม่ใช่ ระบบปฏิบัติการและส่วนประกอบต่าง ๆ เต็มไปด้วยบั๊ก "การยกระดับสิทธิ์" ที่อาจถูกใช้เป็นส่วนหนึ่งของห่วงโซ่การโจมตี BootHole เพื่อให้มัลแวร์เข้าถึงผู้ดูแลระบบและแก้ไข grub.cfg

นอกจากนี้กระบวนการ Secure Boot ถูกสร้างขึ้นโดยเฉพาะเพื่อป้องกันไม่ให้แม้แต่บัญชีผู้ดูแลระบบที่มีสิทธิพิเศษสูงจากการบุกรุกกระบวนการบูตซึ่งหมายความว่า BootHole เป็นช่องโหว่ด้านความปลอดภัยที่สำคัญในการดำเนินการที่ปลอดภัยที่สุดแห่งหนึ่งของระบบนิเวศไอที

แพตช์จะมาในภายหลัง

ในช่วงหลายเดือนที่ผ่านมา Eclypsium กล่าวว่าได้แจ้งระบบนิเวศของฮาร์ดแวร์และซอฟต์แวร์ทั้งหมดเกี่ยวกับ BootHole ( CVE-2020-10713 )

บริษัท ประเมินว่าทุกการแจกจ่าย Linux ได้รับผลกระทบจากช่องโหว่นี้เนื่องจากทั้งหมดใช้โปรแกรมโหลดบูต GRUB2 ที่อ่านคำสั่งจากไฟล์ grub.cfg ภายนอก

"จนถึงปัจจุบันมีชิมมากกว่า 80 ชนิดที่ได้รับผลกระทบ" Eclypsium กล่าว Shims เป็นส่วนประกอบที่อนุญาตให้รหัสเฟิร์มแวร์เฉพาะของผู้จำหน่าย / OEM โต้ตอบกับ GRUB2

"นอกเหนือจากระบบ Linux แล้วระบบใด ๆ ที่ใช้ Secure Boot กับ Microsoft UEFI CA มาตรฐานก็เสี่ยงต่อปัญหานี้" ทีมวิจัยกล่าวเพิ่มเติมโดยพูดถึงผลกระทบที่เป็นไปได้ของ GRUB2 ต่อระบบปฏิบัติการอื่นที่ใช้ GRUB2 ในกระบวนการ Secure Boot

"ด้วยเหตุนี้เราจึงเชื่อว่าระบบสมัยใหม่ส่วนใหญ่ที่ใช้อยู่ในปัจจุบันรวมถึงเซิร์ฟเวอร์และเวิร์กสเตชันแล็ปท็อปและเดสก์ท็อปและระบบ OT และ IoT ที่ใช้ Linux จำนวนมากอาจได้รับผลกระทบจากช่องโหว่เหล่านี้"

Eclypsium กล่าวว่าตั้งแต่วันนี้เป็นต้นไป บริษัท ไอทีทุกประเภทคาดว่าจะออกแพตช์เพื่อจัดการกับ BootHole ในผลิตภัณฑ์ของตน

ผู้จำหน่ายความปลอดภัยกล่าวว่าคาดว่าจะมีการแจ้งเตือนความปลอดภัยและโปรแกรมแก้ไขจาก:

  • ไมโครซอฟท์
  • ทีมตอบสนองความปลอดภัย UEFI (USRT)
  • คำพยากรณ์
  • Red Hat (Fedora และ RHEL)
  • Canonical ( Ubuntu )
  • SuSE (SLES และ openSUSE)
  • Debian
  • ซิทริกซ์
  • เอชพี
  • VMware
  • OEMs
  • ผู้จำหน่ายซอฟต์แวร์รวมถึงซอฟต์แวร์รักษาความปลอดภัย

Eclypsium กล่าวว่าคาดว่าการแพตช์จะใช้เวลานานเนื่องจากการแก้ไขข้อบกพร่องของ bootloader มักเป็นกระบวนการที่ซับซ้อนเนื่องจากส่วนประกอบจำนวนมากและการเข้ารหัสขั้นสูงที่เกี่ยวข้องในกระบวนการนี้ อย่างไรก็ตามให้มองหาแพตช์ CVE-2020-10713 ในบันทึกการเปลี่ยนแปลงในอนาคต

ที่มา:  https://www.zdnet.com/article/boothole-attack-impacts-windows-and-linux-systems-using-grub2-and-secure-boot/

 

Tags:

แสดงความคิดเห็น

0 ความคิดเห็น