影響安全啟動功能的漏洞有多厲害?大概就是會影響幾乎所有Linux 系統使用的啟動加載程序,以及幾乎所有使用安全啟動的 Windows 設備吧......
被稱為「 BootHole」的漏洞,就是這種安全啟動功能漏洞,在大多數筆記本電腦、台式機、工作站和伺服器的安全啟動功能中都屬於高級別漏洞。在獲得了權限後,就能在你的系統中如入無人之境為所欲為了。
什麼是 BootHole?
如果成功利用了 BootHole,則即使在啟用了安全啟動的情況下,BootHole 也會打開 Windows 和 Linux 設備,任意執行代碼。據 Eclypsium 的說法,這意味著攻擊者可以通過秘密安裝惡意軟體獲得持久性,並給予他們對設備「幾乎完全的控制」。
其實,今年 4 月,業界就發現了這種漏洞的威脅,供應商隨即開始共享信息,尋找解決辦法。現在,這種漏洞被曝光出來,像 Canonical,Microsoft,Red Hat,SUSE,Debian,Citrix,Oracle 和 VMware 都在今天宣布了建議和緩解措施,其中一些更新立即可用,而其他更新仍將繼續。
超 10 億台設備處於危險之中
對於有多少設備可能受到 BootHole 漏洞威脅的問題,Eclypsium 研發部副總裁約翰•盧凱德斯說:「默認配置可通過 Microsoft UEFI 證書頒發機構啟用安全啟動,該證書頒發機構自 Windows 8 以來,幾乎在所有具有 Windows 徽標認證的設備上都簽署了許多易受攻擊的 GRUB 版本。」
由於安全引導是自 Windows 8以來銷售的大多數系統的默認設置,Eclypsium 指出,這意味著「大多數筆記本電腦、台式機、伺服器和工作站以及網絡設備都受到了影響。」這個數字很容易超過 10 億。
Joe McManus 透露,「在這個過程中,我們發現了 GRUB2 中另外七個漏洞,這些漏洞也將在今天發布的更新中得到修復。」可以肯定的是,這是開源軟體社區內部以及外部合作的一個很好的例子。
BootHole 究竟有何威脅?
確定誰可以對 Secure Boot 資料庫信任的代碼進行簽名是非常重要的,而 Microsoft 的第三方 UEFI 證書頒發機構(CA)是行業標準。
開放源碼項目和其他項目使用 shim (一個小型應用程式)來包含供應商證書和代碼,以驗證和運行 GRUB2引導加載程序。在 shim 加載和驗證 GRUB2引導加載程序之前,使用 Microsoft 第三方 UEFI CA 驗證 shim。
BootHole 是一個緩衝區溢出漏洞,涉及 GRUB2 如何解析配置文件,使攻擊者能夠執行任意代碼並獲得作業系統引導的控制權。
約翰•盧凱德斯說:「Secure Boot旨在防止的Bootkit攻擊通常用於持久性,破壞或繞過其他安全措施。最近的勒索軟體活動已經攻擊了更新的UEFI系統上的Bootloader。由於安全啟動將繼續正常運行,因此,從理論上講,這也是隱藏攻擊很長時間,竊取憑據或等待觸發終止開關的好方法。」
然而,威脅情報專家和 Cyjax CISO 的 Ian Thornton-Trump 並不太擔心。他說:「我不願意在這個問題上完全按下緊急按鈕,武器化它必須依賴於一系列漏洞,分層安全的失敗,發動攻擊以獲得作業系統引導加載程序。」
因此,儘管從理論上講,這確實是一個非常廣泛的漏洞,幾乎影響了所有平台,但T hornton-Trump 表示:「更大的威脅是漏洞利用更容易獲得的攻擊表面,如進程劫持和 DLL 注入。」
微軟的一位發言人稱,「微軟意識到了 Linux 常用的 Grand Unified Boot Loader (GRUB)中的一個漏洞,正在努力完成必需的 Windows 更新包的驗證和相容性測試。」
據了解,當有關的 Windows 更新出現時,將通過修訂作為今天協調披露的一部分發布的安全諮詢通知客戶,並將包括一個緩解選項,作為未經測試的更新安裝。
Linux 供應商對 BootHole 的反應
紅帽的產品安全主管 Peter Allor 說:「我們正在與 Linux 社區以及我們的行業合作夥伴緊密合作,為受影響的紅帽產品提供更新,包括 Red Hat Enterprise Linux。」
Debian 的一位發言人表示:「 Debian 正在與 Linux 社區的其他成員一起準備更新來解決這個漏洞。安全對我們、我們的用戶和我們的社區都非常重要。」
SUSE 的發言人稱:「我們知道今天由 Eclypsium 共享的名為 BootHole 的 Linux 漏洞,我們的客戶和合作夥伴可以放心,我們已經發布了固定的 GRUB2包,它關閉了 SUSE Linux 所有產品的 BootHole 漏洞,並且正在發布 Linux 內核包、雲映像和安裝媒體的相應更新。」
因此,總而言之,供應商將為 Linux 發行版和其他供應商更新其安裝程序,引導加載程序和填充程序的 GRUB2 修補程序,以解決該漏洞。
新的證書需要由微軟第三方 UEFI CA 簽署,受影響設備的管理員將需要更新現場安裝的作業系統版本以及安裝程序圖像,包括災難恢復媒體。每個受影響系統固件中的 UEFI 吊銷列表最終都需要更新,以防止啟動期間被利用。
國內影響如何?
針對此問題社區用戶發表了一些自己的看法:
@Loco:這個漏洞的利用方式是利用管理員權限對引導列表/分區里寫入惡意程序,然後惡意程序就能跟隨系統引導啟動並獲得更高權限。然後只要有安全啟動功能的都可以被攻擊,Windows跟Linux都行。對國內的影響的話可能大也可能不大,有可能會有那種夾帶漏洞利用代碼的流氓軟體之類的,然後小白用戶不懂,就給了權限就會中招了。一般來講只要不給權限,大部分惡意軟體都搞不了多大的事,這個漏洞本身需要有權限才能利用,除非它能繞過權限。雖然生效了的話威脅很大,但是合理使用就沒啥問題。
@張晉濤:直接影響應該不算太大。Windows 不清楚,但是 Linux 的 grub.cfg 配置文件本身就需要有 root 權限才能訪問到, 那麼對於已經提供的伺服器來說想要利用這個漏洞的前提,基本上機器也已經被攻擊了;但是如果是提供了系統的安裝包/軟體安裝包之類的話,那可能就會危險點。
@edagarli:對國內影響不大,國內幾乎沒人用 secureboot,也沒有出現過什麼問題。
賽事推薦