BootHole GRUB引导程序漏洞让黑客在Linux、Windows中隐藏恶意软件

7月30日早间消息：大多数Linux系统使用的GRUB 2引导加载程序的几乎所有签名版本都存在严重漏洞。如果正确利用该漏洞，即使安全启动验证机制处于活动状态，它也可能允许威胁参与者破坏操作系统的引导过程。

该漏洞名为BootHole，允许在GRUB引导加载程序。攻击者可以使用它来安装名为bootkit的恶意软件，在操作系统(OS)之前加载。

以这种方式危害系统会授予恶意软件最高的权限，并使其几乎无法检测，因为操作系统上的安全解决方案已在运行。

持久化和不可见恶意软件

固件和硬件安全公司Eclyp偏的安全研究人员发现了一个缓冲区溢出(CVE-2020-10713)，它以GRUB 2解析其配置文件“grub.cfg”内容的方式在EFI系统分区中位于外部。

威胁行为者可以修改“grub.cfg”，因为它只是一个文本文件，通常缺乏任何完整性保护，比如数字签名，就像引导加载程序的其他组件一样。

更改GRUB的配置文件可以控制启动过程。恶意软件补充说，这种方式是高度持久的，因为它生存的操作系统重新安装。

尽管BootHole会造成损害，但是由于编辑配置文件需要管理权限，所以BootHole的严重程度评分为8.2(很高)。然而，这种努力对一些演员来说是值得的。

奖励将是“设备上的权限和持久性的强大的额外提升，即使启用了安全引导并在所有加载的可执行文件上正确执行签名验证”。

“缓冲区溢出允许攻击者在UEFI执行环境中获得任意代码执行，这些代码可用于运行恶意软件、更改引导进程、直接修补OS内核或执行任意数量的其他恶意操作”类群

受影响装置

Eclyp偏表示，只有一个引导加载器工具供应商添加了自定义代码，以便在GRUB 2可执行文件的验证之上运行“grub.cfg”签名检查。

这意味着从外部配置文件加载命令的所有版本的GRUB 2都是易受攻击的。虽然这个引导加载程序与linux相关联，但是带有Windows的双引导系统也会受到影响。

研究人员认为，今天使用的大多数现代系统都受到BootHole的影响。这包括服务器、工作站、笔记本电脑、台式机，以及基于Linux的物联网系统和操作技术硬件.

走了很长一段路才能修好

Eclyptom已经向OS供应商、计算机制造商和CERT披露了该漏洞。预计该行业的多个组织将于今日发布建议和缓解措施。

然而，这些协调一致的努力不太可能在不久的将来产生效果，因为签署和部署新的引导加载程序，并且撤销易受攻击的引导程序不是一件可以迅速完成的事情。