На десятки миллиардов устройств Linux и Windows влияет критическая уязвимость загрузчика GRUB2, которую киберпреступники потенциально могут использовать для установки видимого и скрытого вредоносного ПО. Об обнаружении проблемы сообщили представители компании Eclypsium.
Эксперты по информационной безопасности из компании Eclypsium обнаружили серьезную уязвимость, которая затрагивает абсолютно все операционные системы, использующие загрузчик GRUB2 с Secure Boot (механизм, используемый для защиты процессора загрузки от атак). Специалисты отмечают, что проблема актуальна и для тех устройств, которые используют безопасную загрузку, без применения загрузчика GRUB2.
На своем официальном сайте компания Eclypsium выложила соответствующий отчет, в котором сказано следующее: «Практически все версии операционных систем с GRUB2 уязвимы. Иными словами, затронут каждый дистрибутив Linux. Поддержка GRUB2 предусмотрена и на других операционных системах, в ядрах, гипервизорах (например, в Xen). Уязвимость актуальная для каждого устройства с Windows, если на нем используется безопасная загрузка со стандартным Центром сертификации Microsoft UEFI».
Представители компании Eclypsium также отмечают, что уязвимость на данный момент выглядит актуальной для большинства ноутбуков, ПК, рабочих станций, серверов, сетевых устройств, оборудования, которое применяется в различных отраслях деятельности – финансовой, промышленной, медицинской и во многих других.
Потенциально киберпреступники могут использовать уязвимость BootHole, чтобы установить буткиты или вредоносные загрузчики, что позволит им получить контроль над устройством жертвы. ИБ-специалисты из Eclypsium говорят о том, что эксплуатация данной уязвимости требует наличия привилегий администратора на целевом устройстве, однако успешная эксплуатация BootHole позволяет хакеру получить максимальные привилегии.
Уязвимость BootHole описывается в качестве проблемы переполнения буфера, которая связана с тем, как загрузчик GRUB2 анализирует собственный файл конфигурации grub.cfg. Киберпреступник может изменить этот файл, который является неподписанным текстовым файлом и располагается в системном разделе EFI, чтобы обеспечить выполнение вредоносного кода в среде выполнения UEFI перед загрузкой операционной системы. Подобный подход позволяет хакеру запустить вредоносное ПО, изменить процессы загрузки, устанавливать исправления для ядра операционной системы.