Bezpečnost | Malware | UEFI

Bezpečnostní díra BootHole ohrožuje počítače s operačními systémy Windows a Linux

Odborníci z bezpečnostní firmy Eclypsium zveřejnili informace o bezpečnostní zranitelnosti označované jako BootHole. Týká se počítačů s nainstalovaným zavaděčem GRUB2, který používá většina linuxových systémů. Zranitelnost, evidovaná jako CVE-2020-10713, byla na desetistupňové škále ohodnocena 8,2 body, což znamená, že útočníci mohou tuto chybu zneužít k získání téměř úplného přístupu k zařízení.

Podstata nebezpečí tkví v možnosti spuštění prakticky libovolného kódu během procesu zavádění operačního systému. Útočníci využívající tuto chybu mohou například nainstalovat trvalé a tajné bootkity nebo škodlivé bootloadery, které jim poskytnou téměř úplnou kontrolu nad zařízením oběti.

BootHole není pro každého

Zranitelné jsou téměř všechny verze zavaděče GRUB2, tedy prakticky každá distribuce Linuxu. Podstatné však je, že tato chyba zabezpečení ovlivňuje systémy využívající UEFI Secure Boot, i když nepoužívají GRUB2.

Ovlivněna je většina notebooků, stolních počítačů, serverů a pracovních stanic, stejně jako síťová a další zařízení pro zvláštní účely používaná v průmyslových, zdravotnických, finančních a jiných odvětvích. Dle Eclypsium jsou zranitelné miliardy zařízení.

Podstata problému spočívá v přetečení vyrovnávací paměti během toho, kdy GRUB2 analyzuje obsah konfiguračního souboru grub.cfg. Jde o textový soubor, jež obvykle není podepsán. Chyba zabezpečení umožňuje spuštění libovolného kódu v rámci GRUB2, a tím získání kontroly nad zaváděním operačního systému. Tímto způsobem lze například spustit malware, změnit spouštěcí proces, provést úpravu jádra operačního systému nebo jakýkoli jiný škodlivý postup.

Útok odhaluje zranitelnost v rámci frameworku UEFI Secure Boot, který za normálních okolností zabraňuje neoprávněnému přístupu k systému během spouštění. Útočníci mohou kompromitovat Secure Boot a následně pomocí škodlivých zavaděčů UEFI získat neomezený přístup a kontrolu nad systémem.

Není to tak horké – na opravě se pracuje

Naštěstí tento způsob útoku vyžaduje využití zvýšených oprávnění (nikoli však fyzický přístup), což případným útočníkům značně komplikuje situaci. Bez znalosti přístupových údajů nebo získání zvýšených oprávnění není útok prakticky možný.

Experti o svých poznatcích informovali vývojáře operačních systémů (např. Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware), výrobce počítačů i skupinu CERT (Computer Emergency Response Team). Kromě jiného bude nutné vydat nové verze zavaděčů, což bude pravděpodobně dlouhý proces a dokončení oprav zabere nemálo času.

Pokud vás bezpečnostní díra BootHole zajímá hlouběji, vyhraďte si 5. srpna od 18:00 čas na připravovaný webinář „Managing the Hole in Secure Boot“. V jeho rámci vystoupí generální ředitel společnosti Eclypsium Yuriy Bulygin a viceprezident pro výzkum a vývoj John Loucaides, kteří poskytnou rady ohledně zmírnění této zranitelnosti.

Diskuze (11) Další článek: Facebook čelí obvinění, že nekorektně shromažďuje biometrická data

Témata článku: Software, Microsoft, Windows, Linux, Bezpečnost, Malware, Debian, Oracle, UEFI, Zranitelnost, Díra, Počítač, UEFI Secure Boot, Eclypsium, Red Hato, Bezpečnostní díra, Windows a Linux, Canonical, Operační systém, Secure Boot, Sus, Grub, Cert, Opera ?, Software na Heureka.cz



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Google už nevydržel čekat. Kompletně odhalil design a barevné varianty hodinek Pixel Watch

Google už nevydržel čekat. Kompletně odhalil design a barevné varianty hodinek Pixel Watch

** Hodinky Pixel Watch se ukazují v celé své kráse ** Displej bude krýt Gorilla Glass zatím neznámé generace ** Pásky rozhodně nebudou univerzální

Martin Chroust
Pixel WatchChytré hodinky
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

Google není jen vyhledávač: 15 užitečných funkcí, o kterých možná ani nevíte

** Google umí kromě vyhledávání i spoustu dalších věcí ** Vybrali jsme více než 15 užitečných funkcí a schopností ** Stačí zadat do vyhledávače ta správná klíčová slova

Karel Kilián
TipyVyhledávačeGoogle
Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Zaujala vás Hra o trůny (Game of Thrones)? Potom se vám budou líbit i tyto seriály

Hra o trůny (Game of Thrones) je legendární seriál televize HBO. Od roku 2011 v osmi sezónách popisoval boj šlechtických rodů o vládu a moc. Hra o Trůny sice skončila, ale tady jsou další seriály podobného charakteru, které by se vám mohly líbit.

Ondřej Králík
Filmy, které musíte vidět