Експерти по сигурността алармираха за нова уязвимост, която позволява на атакуващите да получат почти пълен контрол над системи, работещи под управление на Windows и Linux. Под риск са „милиарди устройства”, включително лаптопи, настолни компютри, сървъри и работни станции, както и специализирани компютри в промишлеността, здравеопазването, финансите и други индустрии, твърдят от Eclypsium.
Уязвимостта е локализира в инфраструктурата на UEFI Secure Boot, която обикновено предотвратява неоторизиран достъп до системата по време на нейното зареждане. Чрез компрометиране на сигурното зареждане, атакуващите могат да използват злонамерен UEFI, за да получат безпрепятствен достъп и контрол върху системата.
За щастие, подобна атака изисква повишени привилегии, което означава, че нападателят трябва да има съдействието на инсайдер или достъп до данните за акаунта, получени чрез други средства.
След като е компрометирана, системата на пръв поглед работи както обикновено, въпреки че злонамереният софтуер има пълен достъп до нея. Вредоносният код е разположен в зареждащия модул (Bootloader), тоест запазва се дори след преинсталиране на операционната система.
На уязвимостта е присвоен каталожен номер CVE-2020-10713 и CVSS рейтинг 8.2, което означава, че атакуващите могат да я използват, за да получат почти пълен достъп до устройството, отбелязва Tom’s Hardware.
UEFI Secure Boot е индустриален стандарт, който защитава почти всички сървъри и персонални компютри от атаки по време на зареждане на системата. Новооткритата уязвимост съществува във всички системи с UEFI Secure Boot, дори ако тази функция е деактивирана.
Secure Boot използва криптографски подписи, за да провери кода, който е позволен за изпълнение по време на процеса на зареждане. GRUB2 (Grand Unified Bootloader) управлява зареждането и прехвърлянето на контрола към операционната система и ако този процес е компрометиран, атакуващите могат да поемат пълен контрол над устройството.
Накратко, атаката се свежда до използван на уязвимост от препълване на буфер в конфигурационния файл GRUB2, който е текстов файл и не е защитен като другите файлове. Това позволява вмъкване на произволен код в GRUB2.
Според експертите на Eclypsium, много компании ще пуснат актуализации, които затварят уязвимостта едновременно със съобщения за нея. Сред тях са Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware, както и различни OEM производители и доставчици на софтуер. Разбира се, ще отнеме време, докато се обновят всички системи.
Мрежовите интерфейси заредени ли са преди да се зареди GRUB2?
Мда, днес мина актуализацията на дебианчето, GRUB зарежда малко по-бавно с няколко секунди, но пък всичко си работи, както трябва.