С помощью BootHole злоумышленник может скомпрометировать процесс загрузки ОС и внедрить буткит.
Практически все версии популярного загрузчика GRUB2, используемого в большинстве дистрибутивов Linux, подвержены опасной уязвимости. С ее помощью злоумышленник может скомпрометировать процесс загрузки операционной системы даже при включенном режиме безопасной загрузки (Secure Boot).
Уязвимость ( CVE-2020-10713 ), получившая название BootHole, была обнаружена специалистами компании Eclypsium. Проблема представляет собой уязвимость переполнения буфера и существует из-за того, как GRUB2 осуществляет синтаксический анализ содержимого своего конфигурационного файла grub.cfg, хранящегося в системном разделе EFI.
Злоумышленник может модифицировать grub.cfg, поскольку он обычно представляет собой текстовый файл без механизмов защиты целостности, таких как цифровая подпись, использующаяся для других компонентов загрузчика. Изменение конфигурационного файла загрузчика позволяет получить контроль над процессом загрузки ОС. Через BootHole атакующий может выполнить в GRUB2 произвольный код и внедрить буткит – вредоносное ПО, загружающееся перед ОС.
Компрометация системы с помощью данного метода обеспечивает вредоносному ПО привилегии наивысшего уровня и позволяет избежать обнаружения решениями безопасности. Более того, оно становится персистентным и остается на компьютере даже после переустановки ОС. Однако для того, чтобы модифицировать конфигурационный файл, у атакующего должны быть права администратора.
По словам представителей Eclypsium, только один поставщик загрузчиков добавил кастомный код для проверки подписи файла Eclypsium grub.cfg поверх механизма верификации исполняемого файла GRUB2. Это значит, что уязвимыми являются все версии GRUB2, загружающие команды из внешнего конфигурационного файла. Хотя загрузчик связан с Linux, проблема также затрагивает системы с двойной загрузкой под управлением Windows.
Исследователи полагают, что BootHole влияет на большинство современных систем, в том числе серверы, рабочие станции, ноутбуки, настольные компьютеры, IoT-устройства на базе Linux и аппаратное обеспечение операционных технологий.
Одно найти легче, чем другое. Спойлер: это не темная материя