Ny fejl kastrere Secure Boot, men der er ingen grund til panik. Her er hvorfor

Boot Hole giver en ny måde at installere boot-niveau malware. Men det er næppe det eneste.

, Ny fejl kastrere Secure Boot, men der er ingen grund til panik. Her er hvorfor

GRUB2, en af verdens mest udbredte programmer til opstart af computere, har en sårbarhed, der kan gøre det lettere for angribere at køre ondsindet firmware under opstart, forskere sagde onsdag. Dette ville påvirke millioner eller muligvis hundreder af millioner af maskiner. Mens GRUB2 hovedsageligt bruges i computere, der kører Linux, angreb, der udnytter sårbarheden kan udføres på mange pc’er, der kører Windows så godt.

Sårbarheden, opdaget af forskere fra sikkerhedsfirma Eclypsium, udgør endnu en alvorlig trussel mod UEFI Secure Boot, en industri-dækkende standard, der bruger kryptografiske signaturer til at sikre, at software, der anvendes under opstart er tillid til en computers producent. Secure Boot er udviklet til at forhindre hackere i at kapre startprocessen ved at erstatte den tilsigtede software med skadelig software.

Stealthier, mere kraftfuld, og svært at desinficere

Såkaldte bootkits er blandt de mest alvorlige typer af infektioner, fordi de kører på det laveste niveau af software stakken. Det gør det muligt for malware at være stealthier end de fleste malware, overleve operativsystem geninstallationer, og omgå sikkerhedsbeskyttelse indbygget i OS.

Boot Hole, som forskerne har navngivet sårbarheden, stammer fra en buffer overløb på den måde, at GRUB2 analyserer tekst i grub.cfg, boot loader vigtigste konfigurationsfil. Ved at tilføje lange tekststrenge i filen kan angribere overfylde den hukommelse, der er tildelt filen, og forårsage, at skadelig kode spildes i andre dele af hukommelsen, hvor den derefter udføres.

Konfigurationsfilen er ikke signeret digitalt, så Sikker start registrerer ikke, hvornår den er blevet ændret skadeligt. GRUB2 heller ikke bruge adresse plads layout randomisering, data udførelse forebyggelse,og andre anti-exploit beskyttelse, der er standard i operativsystemer. Disse udeladelser gør det trivielt for angribere, der allerede har fodfæste på den målrettede computer til at udnytte fejlen. Derfra kan de helt omgå en beskyttelse mange mennesker forventer at forhindre bootkits fra at tage fat.

Ud over Eclypsium-rapporten giver Debian et solidt overblik her.

Men der er nogle store fangster

Sværhedsgraden af sårbarheden, dog, opvejes af et par ting. Først skal hackeren have enten administrative rettigheder over computeren eller fysisk adgang til computeren. Kontrol på administratorniveau bliver sværere og sværere at opnå på moderne OS’er på grund af store fremskridt, de har gjort for at blokere exploits. Fysisk adgang kan være lettere under grænseovergange eller lignende øjeblikke, hvor en bruger kortvarigt mister fysisk besiddelse af en computer. Men kravet er stejlt i de fleste andre scenarier, hvilket gør det usandsynligt, at mange brugere er berørt. Hvad mere er, fysisk besiddelse i høj grad begrænser skalerbarheden af angreb.

To andre faktorer, der gør Boot Hole mindre skræmmende: angribere, der allerede har administrativ eller fysisk kontrol over en computer, allerede har masser af andre måder at inficere det med avanceret og snigende malware. Endvidere, der er flere andre kendte teknikker til at omgå Secure Boot.

“Jeg vil hævde, at Secure Boot ikke er grundlaget for pc-sikkerhed i dag, fordi det er sjældent effektiv, og ved deres [Eclypsium’s] egen påstand, har det været let at omgå i over et år nu, uden langsigtet fix i syne,” HD Moore, vice president for forskning og udvikling på Atredis Partners og en ekspert i software udnyttelse, fortalte mig. “Jeg er ikke sikker på, hvad bufferoverløb i GRUB2 er nyttigt for, da der er andre problemer, hvis grub.cfg er usigneret. ” Det kan være nyttigt som en malware vektor, men selv da, der er ingen grund til at udnytte en buffer overløb, når en brugerdefineret grub.cfg fil kan bruges i stedet for at kæde indlæse den virkelige OS.”

Andre forskere synes at være enige i vurderingen. CVE-2020-10713, som sårbarheden spores, har en sværhedsgrad rating på “Moderat.”

Den Eclypsium påstand Moore henvist til indebærer en tilbagekaldelse i februar af en bootloader vagtselskab Kaspersky Lab bruges til i en rednings-disk til at starte handicappede computere. Tilbagekaldelsen forårsagede så mange problemer, at Microsoft, som fører tilsyn med valideringsprocessen, rullede ændringen tilbage. Tilbagekaldelsen understreger ikke kun vanskeligheden ved at lappe fejl som Boot Hole (mere om det senere), men også det faktum, at det allerede er muligt at omgå Secure Boot.

Ikke skræmmende betyder ikke ikke alvorligt

De forhindringer og begrænsninger af udnyttelse betyder ikke, at sårbarheden ikke er værd at tage alvorligt. Secure Boot blev skabt netop for det scenario, der kræves for at udnytte Boot Hole. Risikoen forværres af antallet af berørte computer- og softwareproducenter. Eclypsium har en mere komplet liste over de berørte. Der er nemlig:

  • Microsoft
  • The Unified Extensible Firmware Interface Forum
  • Oracle
  • Rød hat (Fedora og RHEL)
  • Kanonisk (Ubuntu)
  • SuSE (SLES og openSUSE)
  • Debian
  • Citrix
  • Vmware
  • Forskellige computerproducenter
  • Softwareleverandører, herunder sikkerhedssoftware

En anden alvorlig overvejelse er udfordringen i at skubbe ud opdateringer, der ikke vil permanent forhindre en maskine i at starte op, et fænomen, der ofte omtales som “bricking.” Som Kaspersky hændelsen viser, risikoen er reel og kan have alvorlige konsekvenser.

Fastsættelse af rod er noget rod i sig selv

Rettelser involverer en flertrinsproces, der ikke vil være triviel eller i mange tilfælde hurtig. Først skal GRUB2 opdateres for at rette sårbarheden og derefter distribueres til producenter eller administratorer af store organisationer. Der, ingeniører bliver nødt til grundigt at teste opdateringen på hver computer model, de understøtter for at sikre, at maskinen ikke mursten. Opdateringer skal fastsættes for maskiner, der gør. Først da vil opdateringen være klar til at blive installeret generelt.

Selv da, det vil være trivielt for angribere med de ovenfor beskrevne privilegier til at rulle tilbage GRUB2 til sin sårbare version og udnytte buffer overløb. Selvom Windows-maskiner typisk ikke har GRUB2 installeret, kan privilegerede angribere normalt installere det. For at lukke dette smuthul, computerproducenter bliver nødt til at tilbagekalde de kryptografiske signaturer, der validerer den gamle version eller “shim” firmware, der indlæser den gamle version.

Dette trin kommer også med risiko for mursten maskiner. Hvis signaturerne tilbagekaldes, før GRUB2-versionen installeres – eller hvis der er tale om Windows-maskiner, signaturer til andre startkomponenter – før omfattende test, risikerer millioner af computere også at blive muret.

For at forhindre denne mulighed tilbyder Microsoft, Red Hat, Canonical og andre os- og hardwareproducenter generelt rettelser i to trin. Først vil GRUB2-opdateringen blive frigivet, og først efter at den er testet og anses for at være sikker på at blive installeret. Derefter tilbagekaldes underskrifterne efter en periode, der kan vare måneder. Først når det andet trin er fuldført, vil sårbarheden blive lappet.

Microsoft, der driver det nøglecenter, der certificerer UEFI-signaturer, der er behørigt godkendt af producenter, har udstedt følgende erklæring:

Vi er opmærksomme på en sårbarhed i GRand Unified Boot Loader (GRUB), der almindeligvis anvendes af Linux. For at kunne udnytte denne sårbarhed skal en hacker have administratorrettigheder eller fysisk adgang på et system, hvor Secure Boot er konfigureret til at have tillid til Microsoft UEFI CA. Vi arbejder på at fuldføre validering og kompatibilitet test af en påkrævet Windows Update pakke.

En Microsoft talsmand sagde, at selskabet vil give it-administratorer, der har et presserende behov med en “afbødning mulighed for at installere en un-testet opdatering.” På et ubestemt tidspunkt, talsmanden sagde, Microsoft vil frigive en rettelse til generel tilgængelighed. Microsoft har udgivet en vidensbase artikel her.

Bulletiner fra andre berørte virksomheder er for mange til at give i den oprindelige version af denne artikel. For øjeblikket bør læserne tjekke hjemmesider berørte virksomheder. Dette indlæg vil blive opdateret senere for at give links.

For nu, er der ingen grund til panik. De stejle krav til udnyttelser gør sværhedsgraden af denne sårbarhed moderat. Og som allerede nævnt, Secure Boot er allerede sårbar over for andre bypass teknikker. Det betyder ikke, at der ikke er nogen grund til at tage denne sårbarhed alvorligt. Patch det så hurtigt som muligt, men kun efter grundig test, enten af erfarne brugere eller påvirket OS og software beslutningstagere. I mellemtiden, ikke mister nogen søvn.

Leave a Reply

Your email address will not be published. Required fields are marked *