Бэкдоры на старте: GRUB2 помогает обойти защиту до запуска системы
Уязвимости в загрузчиках помогают обойти защиту Windows и Linux.
Microsoft сообщила об обнаружении 20 новых уязвимостей в загрузчиках GRUB2, U-Boot и Barebox. Внимание исследователей было сосредоточено на начальных этапах загрузки устройств — критическом моменте, когда система ещё не активировала основные защитные механизмы.
GRUB2 является стандартным загрузчиком во многих Linux-дистрибутивах, включая Ubuntu, в то время как U-Boot и Barebox часто используются в IoT- и встраиваемых системах. Обнаруженные дефекты в их коде могут привести к серьезным последствиям. В GRUB2 выявлено 11 уязвимостей, включая ошибки в работе с файловыми системами, некорректную обработку символических ссылок и недостатки в криптографических сравнениях.
U-Boot и Barebox также оказались под ударом — в них найдены 9 проблем, связанных с переполнением буфера при разборе разных типов файловых систем. Хотя для эксплуатации нужен физический доступ к устройству, даже такие ограничения не исключают риск серьёзных атак. В прошлом уже были случаи заражения систем на этапе загрузки, как, например, при атаке с применением BlackLotus .
Особенность выявленных проблем — в их влиянии на безопасность механизмов UEFI Secure Boot. Если соблюдены определённые условия, уязвимости позволяют обойти этот уровень защиты и выполнить вредоносный код ещё до запуска операционной системы. Это, в свою очередь, открывает путь к установке загрузочных вредоносов и полной компрометации системы.
Microsoft отдельно отмечает, что подобные атаки могут привести к сохранению вредоносного ПО даже после форматирования диска или переустановки ОС. Злоумышленники могут получить контроль над загрузочным процессом, внедрить бэкдор и использовать устройство как точку входа для дальнейшего распространения в сети.
Наибольшую опасность представляет уязвимость CVE-2025-0678 (оценка CVSS: 7.8), связанная с переполнением буфера (Buffer Overflow) при чтении файлов Squash4. Остальные 10 уязвимостей GRUB2 классифицируются как средние по степени угрозы. Среди них — ошибки обработки в HFS, UFS, ReiserFS, JFS, RomFS, UDF и других компонентах.
Microsoft подчёркивает, что использование Security Copilot ускорило анализ кода как минимум на неделю по сравнению с ручной проверкой. Кроме выявления уязвимостей, инструмент также предложил варианты устранения, что особенно ценно для небольших open source проектов.
Из-за того, что некоторые участки кода были общими между GRUB2, U-Boot и Barebox, найденные ошибки были воспроизведены и в других проектах. Все три загрузчика выпустили обновления безопасности в феврале 2025 года, и установка последних версий устраняет выявленные уязвимости.