BootHole-bug in Grub2 maakt alle apparaten met Secure Boot kwetsbaar

Black Tiger

Senior
Berichten
3.338
OS
Windows 10 Pro
AV
AVG
FW
Windows Firewall
Verschillende fabrikanten komen met een fix voor een kwetsbaarheid in Grub2 die vrijwel alle apparaten met Secure Boot treft. Die kwetsbaarheid maakt het mogelijk om code uit te voeren tijdens het startproces, ook als Secure Boot aanstaat.

Het lek wordt BootHole genoemd en werd ontdekt door beveiligingsbedrijf Eclypsium. Het lek zit specifiek in Grub2, de Grand Unified Bootloader die door de meeste Linux-systemen wordt gebruikt. Ook Windows-systemen zijn kwetsbaar als die Secure Boot gebruiken waarbij Microsoft zelf optreedt als certificaatautoriteit, wat bij praktisch alle Windows-systemen het geval is. De kwetsbaarheid was volgens de onderzoekers op alle apparaten met Secure Boot uit te voeren, zelfs als Grub2 niet was ingeschakeld. De bug heeft code CVE-2020-10713 gekregen.

De kwetsbaarheid is vrij ernstig, met een CVSS-score van 8.2. Wel is ze in de praktijk lastig uit te buiten. Een aanvaller moet het grub.cfg-configuratiebestand aanpassen en heeft daarvoor in ieder geval roottoegang tot een systeem nodig. Door de grootte van een token in grub.cfg aan te passen kan een aanvaller een buffer overflow veroorzaken. Als er vervolgens malware wordt ingeladen, stopt de parser niet automatisch met uitvoeren zoals de bedoeling is, maar wordt die malware juist ingeladen tijdens het bootproces.

Nadat de onderzoekers hun bevindingen hadden doorgegeven aan verschillende fabrikanten, vonden die zelf nog andere kwetsbaarheden in Grub2. Ubuntu-ontwikkelaar Canonical heeft het over zeven kwetsbaarheden. Het gaat om andere buffer overflows en een use-after-free-kwetsbaarheid.

Tientallen fabrikanten van Linux-systemen hebben inmiddels patches uitgebracht. De meeste hebben daarvoor nieuwe Grub2-packages uitgebracht. Sommige ontwikkelaars zoals RedHat zeggen wel dat de praktische impact van de kwetsbaarheid meevalt.

@bron Tweakers.net
 

Black Tiger

Senior
Berichten
3.338
OS
Windows 10 Pro
AV
AVG
FW
Windows Firewall
Ik neem aan dat daarvoor ook fysieke toegang nodig is.
Natuurlijk wel
Natuurlijk niet. Zoals je zegt is het probleem het meest toepasbaar op servers en daar kun je ook root toegang via SSH verkrijgen bijvoorbeeld, dus fysieke toegang is niet noodzakelijk.
Gelukkig is het wel zo dat dit soort toegang over het algemeen goed afgeschermd is. Vond het ook wel interessant dat dit ook op Windows van toepassing is.

Ook Windows-systemen zijn kwetsbaar als die Secure Boot gebruiken waarbij Microsoft zelf optreedt als certificaatautoriteit, wat bij praktisch alle Windows-systemen het geval is.
Servers zijn al geupdate. Maar het komt zelden voor dat er echt iets van Linux is het OS zelf een bug bevat, vandaar dat het me interessant leek om het toch te plaatsen hier.
Overigens zijn er inmiddels al updates hiervoor geweest die Grub2 gefixed hebben.
 
Bovenaan Onderaan