‘BootHole нападение воздействий Windows и Linux систем использование grub2 и безопасной загрузки

BootHole


Изображения: Eclypsium

Windows 10 security: 'So good, it can block zero-days without being patched'

Системе безопасности Windows 10: ‘так хорошо, он может блокировать нулевого дня, не будучи исправленными’

Систем запуска обновления Windows 10-летия были защищены от двух подвигов даже до того, как Microsoft выпустила патчи для них, ее исследователи не обнаружили.

Подробнее

Детали о новой уязвимости в ключевых компонентах процесса безопасной загрузки были опубликованы сегодня.

Уязвимость под кодовым названием BootHole, позволяет злоумышленникам подделывать загрузки-загрузки процесс, который предшествует запуск операционных систем (ОС).

Этот процесс опирается на компоненты, известные как загрузчики, которые отвечает за загрузку прошивки по всем аппаратным компонентам, на котором собственно ОС работает.

BootHole уязвимость в файл grub2, один из самых популярных компонентов загрузчика. В настоящее время, для grub2 используется в качестве первичного загрузчика для всех основных дистрибутивов Linux, но она также может загрузке и иногда используется для Windows, для macOS и BSD-систем, а также.

Как BootHole работает

Уязвимость BootHole был обнаружен ранее в этом году исследователи безопасности из Eclypsium. Фактическая полная техническая информация об ошибках были опубликованы сегодня на блоге Eclypsium.

Исследователи говорят, BootHole позволяет злоумышленникам подделывать компонент grub2, чтобы вставить и выполнить вредоносный код при загрузке процесс загрузки, эффективно позволяя злоумышленникам получить код завода, который имеет полный контроль над ОС, запущенных на более позднем этапе.

Этот тип вредоносных программ обычно известен как буткит, потому что он живет внутри загрузчики, в физическом материнская плата память, в местах отделены от собственно операционной системы, что позволяет ему выжить на ОС переустанавливает.

По данным Eclypsium, фактическая уязвимость BootHole находится внутри жратву.файл cfg, файл конфигурации отдельно от фактической составляющей для grub2, из которого загрузчик тянет настройки для конкретной системы. Eclypsium говорит, что злоумышленники могут изменять значения в этот файл, чтобы вызвать переполнение буфера в компоненте grub2 при чтении файла при каждой загрузке ОС.

На рисунке ниже показана упрощенная мотивов теракта BootHole, где злоумышленники можете контрейлерных на «перетекания» текста из одного или более жратвы.cfg для вариантов выполнения вредоносных команд в компоненте для grub2.

boothole-details.pngboothole-details.png

Eclypsium говорит BootHole может быть (АБ)используется для взлома загрузчика, или даже заменить его на вредоносных или уязвимых версия.

boothole-attack.pngboothole-attack.png

Ситуацию усугубляет то, что Eclypsium говорит, что нападение BootHole также работает, даже когда серверы или рабочие станции имеют Безопасная загрузка включена.

Безопасная загрузка-это процесс, в котором сервер/компьютер использует криптографические проверки, чтобы убедиться, что процесс загрузки загружает только криптографически подписанные компоненты прошивки.

BootHole работа атаку даже с включенной безопасной загрузкой, ведь для некоторых устройств или установок ОС, процесс безопасной загрузки не криптографически проверить жратвы.файл cfg, позволяющим злоумышленникам вмешиваться в его содержание.

boothole-secure-boot.pngboothole-secure-boot.png

Некоторые ограничения для этой атаки тоже существуют. Eclypsium говорит, что атакующий должен иметь доступ администратора для того, чтобы вмешиваться со жратвой.файл cfg. Это выглядит как ограничение, но в реальности это не так. Операционных систем и их комплектующих завалены «повышение привилегий» ошибки, которые могут быть использованы как часть атаки BootHole, чтобы позволить вредоносных программ получить доступ администратора и изменить харчи.cfg для.

Кроме того, процесс безопасной загрузки, был специально создан для предотвращения высокого привилегированных учетных записей администратора ущерба для процесса загрузки, что означает, что BootHole является серьезной дырой в безопасности в одной из самых безопасных операций ИТ-экосистемы.

Патчи сегодня

В течение последних месяцев, Eclypsium говорит, что это было уведомление с полным аппаратного и программного обеспечения экосистемных о BootHole (уязвимости CVE-2020-10713).

По оценкам компании, каждый дистрибутив Linux — это влияние этой уязвимости, как все использовать для grub2 загрузчик, что читать команды от внешнего жратвы.файл cfg.

«На сегодняшний день более 80 шайб, как известно, быть затронуты,» сказал Eclypsium. Прокладки-это компоненты, которые позволяют поставщика/ПВТ код прошивки для взаимодействия с grub2.

«В дополнение к Linux систем, любая система, которая использует безопасную загрузку с стандартном Microsoft ЦС UEFI уязвимы к этому вопросу,» исследовательская группа добавила, говоря о grub 2 возможно влияние на другие операционные системы, которые используют для grub2 в режиме безопасной загрузки процесс.

«В результате, мы считаем, что большинство современных систем, включая серверы и рабочие станции, ноутбуки и настольные ПК, и большое количество на основе Linux от и IoT систем, потенциально подвержены этим уязвимостям.»

Eclypsium говорит, что начиная с сегодняшнего дня и на ближайшие дни и недели, всякие IT-компаний, как ожидается, выпустит патчи для устранения BootHole в своих продуктах.

Поставщик охрана говорит, что ожидается оповещения безопасности и патчей от:

15 из 18

Далее

Пред

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *