В «миллиардах устройств» выявлена уязвимость BootHole

Она позволяет получить контроль над Windows или Linux

Компания Eclypsium, которая специализируется на корпоративных решениях безопасности, обнаружила новую уязвимость, которая позволяет злоумышленникам получить почти полный контроль над системами, работающими под управлением Windows и Linux. Компания утверждает, что уязвимы «миллиарды устройств», включая ноутбуки, настольные ПК, серверы и рабочие станции, а также специализированные компьютеры, используемые в промышленности, здравоохранении, финансовой и других отраслях.

В «миллиардах устройств» выявлена уязвимость BootHole

Атака направлена на уязвимость в инфраструктуре безопасной загрузки UEFI, которая обычно предотвращает несанкционированный доступ к системе во время загрузки. Скомпрометировав безопасную загрузку, злоумышленники могут использовать вредоносные загрузчики UEFI для получения беспрепятственного доступа к системе и контроля над ней. К счастью, эта атака требует повышенных привилегий, то есть злоумышленнику необходимо содействие инсайдера или наличие доступа к учетным данным, полученного с помощью других средств.

После взлома система внешне работает как обычно, хотя вредоносные программы имеют к ней полный доступ. Вредоносный код находится в загрузчике, то есть сохраняется даже после переустановки операционной системы. Уязвимости присвоен каталожный номер CVE-2020-10713 и рейтинг CVSS 8,2, означающий, что злоумышленники могут использовать эту уязвимость для получения почти полного доступа к устройству.

UEFI Secure Boot является отраслевым стандартом, который защищает почти все серверы и ПК от атак во время загрузки системы. Уязвимость есть во всех системах с UEFI Secure Boot, даже если эта функция отключена.

Secure Boot использует криптографические подписи для проверки кода, который разрешено запускать в процессе загрузки. GRUB2 (Grand Unified Bootloader) управляет загрузкой системы и передачей управления ОС во время загрузки, и если этот процесс скомпрометирован, злоумышленники могут получить полный контроль над системой.

Коротко говоря, атака использует уязвимость переполнения буфера в файле конфигурации GRUB2, который представляет собой текстовый файл, который не защищен, как другие файлы. Это позволяет поместить в GRUB2 произвольный код.

По словам Eclypsium, многие производители выпустят объявления, закрывающие уязвимость одновременно с сообщением о ней. Это Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware, а также множество различных OEM-производителей и поставщиков программного обеспечения. Конечно, для обновления для всех систем понадобится время.

Автор:

| Источник: Tom’s Hardware

Все новости за сегодня

Календарь

июль
Пн
Вт
Ср
Чт
Пт
Сб
Вс