Door een kwetsbaarheid in een kernonderdeel van het Secure Boot proces kunnen aanvallers knoeien met het boot-loading proces dat voorafgaat aan het opstarten van besturingssystemen. De kwetsbaarheid heeft de codenaam BootHole gekregen.
BootHole is een kwetsbaarheid in GRUB2, een van de meest populaire bootloader componenten. Momenteel wordt GRUB2 gebruikt als de voornaamste bootloader voor Linux-distributies. Daarnaast maken ook sommige Windows, macOS en BSD-gebaseerde systemen gebruik van GRUB2.
De BootHole kwetsbaarheid werd eerder dit jaar ontdekt door de beveiligingsonderzoekers van Eclypsium. “We verwachten dat de meerderheid van de moderne systemen die tegenwoordig worden gebruikt, waaronder servers, werkstations, laptops, desktops en veel Linux-gebaseerde OT en IoT-systemen mogelijk beïnvloed worden door deze bug”, aldus de onderzoekers van Eclypsium.
Hoe werkt BootHole?
Volgens onderzoekers kunnen aanvallers BootHole gebruiken om te knoeien met de GRUB2-component. Ze kunnen code toevoegen en laten draaien tijdens het bootloading-proces.
Bij een aanval kunnen hackers malware installeren die volledige controle geeft over het besturingssysteem. Het soort malware dat aanvallers in dit geval gebruiken, staat bekend als bootkit, omdat het leeft in de bootloaders.
Volgens Eclypsium bevindt de BootHole kwetsbaarheid zich in grub.cfg, een configuratiebestand dat los is van de daadwerkelijke GRUB2-component. Aanvallers kunnen waarden in dit bestand aanpassen om een buffer overflow te veroorzaken in de GRUB2-component.
Patches op komst
Naar verwachting heeft de kwetsbaarheid invloed op elke Linux distributie, aangezien ze allemaal gebruik maken van GRUB2 bootloaders die commando’s lezen van een extern grub.cfg bestand. Naast Linux systemen is ook elk ander systeem dat Secure Boot met de standaard Microsoft UEFI CA gebruikt kwetsbaar voor het probleem.
Eclypsium verwacht dat vanaf vandaag en in de komende dagen meerdere IT-bedrijven patches gaan uitbrengen om BootHole aan te pakken in hun producten. Volgens Eclypsium zal het patchen lange tijd duren. Het oplossen van bootloaderbugs is vaak een complex proces vanwege de verscheidenheid aan componenten en geavanceerde cryptografie.