據(jù)報道，固件安全公司Eclypsium于7月31日宣布，數(shù)十億Windows和Linux設(shè)備將受到GRUB2引導(dǎo)加載程序中嚴(yán)重漏洞的影響，該漏洞可被利用。 由攻擊者安裝持久性可以使用和隱藏的惡意軟件。 該漏洞被跟蹤為名為BootHole的CVE-2020-10713，CVSS分?jǐn)?shù)為8.2。 Eclypsium表示，這會影響將GRUB2與Secure Boot一起使用的所有操作系統(tǒng)。

研究人員表示，BootHole允許攻擊者在引導(dǎo)加載過程中篡改GRUB2組件，從而有效地使攻擊者植入可以完全控制操作系統(tǒng)的代碼，該代碼將在需要時啟動。這種類型的惡意軟件通常被稱為Bootkit，因為它生活在Bootloader、主板物理內(nèi)存中，因為它存在的位置與實際操作系統(tǒng)的位置分開，從而可以使其在重新安裝OS過程中幸免。

根據(jù)Eclypsium的說法，實際的BootHole漏洞位于grub.cfg，即與實際的GRUB2組件分開的配置的文件內(nèi)部。Eclypsium表示，攻擊者可以修改此文件中的值，以在每次操作系統(tǒng)啟動時讀取GRUB2組件內(nèi)的文件時觸發(fā)緩沖區(qū)溢出。下圖顯示了BootHole攻擊的簡化說明，攻擊者可以從其中的一個或多個grub.cfg選項中竊取“溢出”代碼，以在GRUB2組件內(nèi)執(zhí)行惡意命令。

隨后，Eclypsium還表示，BootHole可能被用于篡改引導(dǎo)加載程序，甚至可以將其替換為惡意或易受攻擊的版本。更糟糕的是，即使服務(wù)器或工作站啟用了安全啟動，BootHole攻擊也可以進(jìn)行，因為對于某些設(shè)備或操作系統(tǒng)設(shè)置，安全啟動過程不會對grub.cfg文件進(jìn)行加密驗證，從而使攻擊者可以篡改其內(nèi)容。目前，該漏洞影響了全球大多數(shù)筆記本電腦，臺式機，工作站和服務(wù)器設(shè)備以及醫(yī)療，工業(yè)和金融部門使用的網(wǎng)絡(luò)設(shè)備和設(shè)備。

在過去的幾個月中，Eclypsium一直在向整個硬件和軟件生態(tài)系統(tǒng)通報有關(guān)BootHole(CVE-2020-10713)的信息。該公司估計每個Linux發(fā)行版都會受到此漏洞的影響，因為所有Linux發(fā)行版都使用GRUB2引導(dǎo)程序，這些引導(dǎo)程序從外部grub.cfg文件讀取命令。迄今為止，已知有80多種墊片受到影響，研究小組補充說：“除了Linux系統(tǒng)外，任何將安全啟動與標(biāo)準(zhǔn)Microsoft UEFI CA一起使用的系統(tǒng)都容易受到此問題的影響?！?

目前，Eclypsium已與Microsoft，Linux發(fā)行版，UEFI安全響應(yīng)團(tuán)隊，OEM，CERT，VMware，Oracle和其他受影響的軟件供應(yīng)商協(xié)調(diào)了該漏洞的披露事宜。Eclypsium還表示，漏洞的修補程序?qū)⒒ㄙM很長時間，因為修復(fù)Bootloader錯誤通常是一個復(fù)雜的過程，該過程涉及許多組件和高級加密。從今天開始以及未來幾天和幾周內(nèi)，各種IT公司都將會發(fā)布補丁程序以解決其產(chǎn)品中的BootHole漏洞問題。