数十亿Windows和Linux设备受到“ BootHole”漏洞的影响！

据报道，固件安全公司Eclypsium于7月31日宣布，数十亿Windows和Linux设备将受到GRUB2引导加载程序中严重漏洞的影响，该漏洞可被利用。 由攻击者安装持久性可以使用和隐藏的恶意软件。 该漏洞被跟踪为名为BootHole的CVE-2020-10713，CVSS分数为8.2。 Eclypsium表示，这会影响将GRUB2与Secure Boot一起使用的所有操作系统。

研究人员表示，BootHole允许攻击者在引导加载过程中篡改GRUB2组件，从而有效地使攻击者植入可以完全控制操作系统的代码，该代码将在需要时启动。这种类型的恶意软件通常被称为Bootkit，因为它生活在Bootloader、主板物理内存中，因为它存在的位置与实际操作系统的位置分开，从而可以使其在重新安装OS过程中幸免。

根据Eclypsium的说法，实际的BootHole漏洞位于grub.cfg，即与实际的GRUB2组件分开的配置的文件内部。Eclypsium表示，攻击者可以修改此文件中的值，以在每次操作系统启动时读取GRUB2组件内的文件时触发缓冲区溢出。下图显示了BootHole攻击的简化说明，攻击者可以从其中的一个或多个grub.cfg选项中窃取“溢出”代码，以在GRUB2组件内执行恶意命令。

随后，Eclypsium还表示，BootHole可能被用于篡改引导加载程序，甚至可以将其替换为恶意或易受攻击的版本。更糟糕的是，即使服务器或工作站启用了安全启动，BootHole攻击也可以进行，因为对于某些设备或操作系统设置，安全启动过程不会对grub.cfg文件进行加密验证，从而使攻击者可以篡改其内容。目前，该漏洞影响了全球大多数笔记本电脑，台式机，工作站和服务器设备以及医疗，工业和金融部门使用的网络设备和设备。

在过去的几个月中，Eclypsium一直在向整个硬件和软件生态系统通报有关BootHole(CVE-2020-10713)的信息。该公司估计每个Linux发行版都会受到此漏洞的影响，因为所有Linux发行版都使用GRUB2引导程序，这些引导程序从外部grub.cfg文件读取命令。迄今为止，已知有80多种垫片受到影响，研究小组补充说：“除了Linux系统外，任何将安全启动与标准Microsoft UEFI CA一起使用的系统都容易受到此问题的影响。”

目前，Eclypsium已与Microsoft，Linux发行版，UEFI安全响应团队，OEM，CERT，VMware，Oracle和其他受影响的软件供应商协调了该漏洞的披露事宜。Eclypsium还表示，漏洞的修补程序将花费很长时间，因为修复Bootloader错误通常是一个复杂的过程，该过程涉及许多组件和高级加密。从今天开始以及未来几天和几周内，各种IT公司都将会发布补丁程序以解决其产品中的BootHole漏洞问题。