当前位置:首页 > 嵌入式 > 嵌入式动态
[导读]影响安全启动功能的安全漏洞有多严重? 这可能会影响几乎所有使用安全启动的Linux系统和几乎所有Windows设备使用的启动加载程序...

影响安全启动功能的安全漏洞有多严重? 这可能会影响几乎所有使用安全启动的Linux系统和几乎所有Windows设备使用的启动加载程序...

被称为“ BootHole”的漏洞,就是这种安全启动功能漏洞,在大多数笔记本电脑、台式机、工作站和服务器的安全启动功能中都属于高级别漏洞。在获得了权限后,就能在你的系统中如入无人之境为所欲为了。

什么是 BootHole?

CVE-2020-10713,被称为 BootHole,CVSS 评级高达 8.2,位于默认的 GNU GRUB 2(GRUB2) ,即使运行系统不使用 GRUB2,也会受到影响。

如果成功利用了 BootHole,则即使在启用了安全启动的情况下,BootHole 也会打开 Windows 和 Linux 设备,任意执行代码。据 Eclypsium 的说法,这意味着攻击者可以通过秘密安装恶意软件获得持久性,并给予他们对设备“几乎完全的控制”。

其实,今年 4 月,业界就发现了这种漏洞的威胁,供应商随即开始共享信息,寻找解决办法。现在,这种漏洞被曝光出来,像 Canonical,Microsoft,Red Hat,SUSE,Debian,Citrix,Oracle 和 VMware 都在今天宣布了建议和缓解措施,其中一些更新立即可用,而其他更新仍将继续。

超 10 亿台设备处于危险之中

对于有多少设备可能受到 BootHole 漏洞威胁的问题,Eclypsium 研发部副总裁约翰卢凯德斯说:“默认配置可通过 Microsoft UEFI 证书颁发机构启用安全启动,该证书颁发机构自 Windows 8 以来,几乎在所有具有 Windows 徽标认证的设备上都签署了许多易受攻击的 GRUB 版本。”

由于安全引导是自 Windows 8以来销售的大多数系统的默认设置,Eclypsium 指出,这意味着“大多数笔记本电脑、台式机、服务器和工作站以及网络设备都受到了影响。”这个数字很容易超过 10 亿。

发布 Ubuntu 的 Canonical 公司的安全主管 Joe McManus 说:“这是一个有趣的漏洞,感谢 Eclypsium,Canonical 和其他开源社区一起,更新了 GRUB2 来抵御 CVE-2020-10713。”

Joe McManus 透露,“在这个过程中,我们发现了 GRUB2 中另外七个漏洞,这些漏洞也将在今天发布的更新中得到修复。”可以肯定的是,这是开源软件社区内部以及外部合作的一个很好的例子。

BootHole 究竟有何威胁?

UEFI 安全启动过程,以及 GRUB2所扮演的角色,都是高度技术化的。在运行之前,每一个固件和软件都会被检查,任何不能识别的都不会被执行。

确定谁可以对 Secure Boot 数据库信任的代码进行签名是非常重要的,而 Microsoft 的第三方 UEFI 证书颁发机构(CA)是行业标准。

开放源码项目和其他项目使用 shim (一个小型应用程序)来包含供应商证书和代码,以验证和运行 GRUB2引导加载程序。在 shim 加载和验证 GRUB2引导加载程序之前,使用 Microsoft 第三方 UEFI CA 验证 shim。

BootHole 是一个缓冲区溢出漏洞,涉及 GRUB2 如何解析配置文件,使攻击者能够执行任意代码并获得操作系统引导的控制权。

约翰卢凯德斯说:“Secure Boot旨在防止的Bootkit攻击通常用于持久性,破坏或绕过其他安全措施。最近的勒索软件活动已经攻击了更新的UEFI系统上的Bootloader。由于安全启动将继续正常运行,因此,从理论上讲,这也是隐藏攻击很长时间,窃取凭据或等待触发终止开关的好方法。”

然而,威胁情报专家和 Cyjax CISO 的 Ian Thornton-Trump 并不太担心。他说:“我不愿意在这个问题上完全按下紧急按钮,武器化它必须依赖于一系列漏洞,分层安全的失败,发动攻击以获得操作系统引导加载程序。”

因此,尽管从理论上讲,这确实是一个非常广泛的漏洞,几乎影响了所有平台,但T hornton-Trump 表示:“更大的威胁是漏洞利用更容易获得的攻击表面,如进程劫持和 DLL 注入。”

微软的一位发言人称,“微软意识到了 Linux 常用的 Grand Unified Boot Loader (GRUB)中的一个漏洞,正在努力完成必需的 Windows 更新包的验证和相容性测试。”

据了解,当有关的 Windows 更新出现时,将通过修订作为今天协调披露的一部分发布的安全咨询通知客户,并将包括一个缓解选项,作为未经测试的更新安装。

Linux 供应商对 BootHole 的反应

红帽的产品安全主管 Peter Allor 说:“我们正在与 Linux 社区以及我们的行业合作伙伴紧密合作,为受影响的红帽产品提供更新,包括 Red Hat Enterprise Linux。”

Debian 的一位发言人表示:“ Debian 正在与 Linux 社区的其他成员一起准备更新来解决这个漏洞。安全对我们、我们的用户和我们的社区都非常重要。”

SUSE 的发言人称:“我们知道今天由 Eclypsium 共享的名为 BootHole 的 Linux 漏洞,我们的客户和合作伙伴可以放心,我们已经发布了固定的 GRUB2包,它关闭了 SUSE Linux 所有产品的 BootHole 漏洞,并且正在发布 Linux 内核包、云映像和安装媒体的相应更新。”

因此,总而言之,供应商将为 Linux 发行版和其他供应商更新其安装程序,引导加载程序和填充程序的 GRUB2 修补程序,以解决该漏洞。

新的证书需要由微软第三方 UEFI CA 签署,受影响设备的管理员将需要更新现场安装的操作系统版本以及安装程序图像,包括灾难恢复媒体。每个受影响系统固件中的 UEFI 吊销列表最终都需要更新,以防止启动期间被利用。

国内影响如何?

针对此问题社区用户发表了一些自己的看法:

@Loco:这个漏洞的利用方式是利用管理员权限对引导列表/分区里写入恶意程序,然后恶意程序就能跟随系统引导启动并获得更高权限。然后只要有安全启动功能的都可以被攻击,Windows跟Linux都行。对国内的影响的话可能大也可能不大,有可能会有那种夹带漏洞利用代码的流氓软件之类的,然后小白用户不懂,就给了权限就会中招了。一般来讲只要不给权限,大部分恶意软件都搞不了多大的事,这个漏洞本身需要有权限才能利用,除非它能绕过权限。虽然生效了的话威胁很大,但是合理使用就没啥问题。

@张晋涛:直接影响应该不算太大。Windows 不清楚,但是 Linux 的 grub.cfg 配置文件本身就需要有 root 权限才能访问到, 那么对于已经提供的服务器来说想要利用这个漏洞的前提,基本上机器也已经被攻击了;但是如果是提供了系统的安装包/软件安装包之类的话,那可能就会危险点。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭