Kritická bezpečnostná diera zneužíva chybu Windowsu a Linuxu. Ohrozuje miliardy počítačov
Tím vedcov zaoberajúcich sa kybernetickou bezpečnosťou zverejnil podrobnosti o zraniteľnosti s názvom BootHole, ktorá sa objavila v zavádzači GRUB2, čím vystavila milióny Linux a Windows systémov nebezpečenstvu.
Portál The Hacker News upozornil na závažnú zraniteľnosť, ktorá postihuje takzvaný GRUB2 zavádzač, respektíve bootloader.
Podľa slov vedcov z oblasti kybernetickej bezpečnosti ide o vysoko rizikovú zraniteľnosť, ktorá ovplyvňuje miliardy zariadení na celom svete – vrátane serverov, prenosných počítačov, stolových počítačov a systémov IoT, ktoré bežia na takmer akejkoľvek distribúcii Linuxu alebo Windowsu.
Zraniteľnosť, ktorá dostala hodnotenie 8,2 z 10
Nebezpečná zraniteľnosť dostala názov BootHole a oficiálne označenie CVE-2020-10713, pričom získala CVSS v3 skóre na úrovni 8,2 z 10. Ako bolo uvedené vyššie, postihuje zavádzač GRUB2, ktorý ak je zneužitý, môže potenciálne umožniť útočníkom obísť funkciu Secure Boot a získať vysoko privilegovaný, trvalý a ťažko odhaliteľný prístup k cieľovým systémom.
Secure Boot je bezpečnostná funkcia UEFI špecifikácie (Unified Extensible Firmware Interface), ktorá používa zavádzač pre načítanie kritických komponentov, periférnych zariadení a operačného systému, pričom zároveň zaistí, aby sa počas zavádzania procesov vykonal iba kryptograficky podpísaný kód.
„Jedným z explicitných cieľov funkcie Secure Boot je zabrániť neoprávnenému kódu, dokonca aj keď je spustený s oprávneniami správcu, získať ďalšie privilégiá a pretrvávanie pred operačným systémom vypnutím funkcie Secure Boot alebo inou úpravou zavádzacieho reťazca,“ vysvetľujú vedci v podanom reporte.
Za objavenie zraniteľnosti BootHole sú zodpovední vedci spoločnosti Eclypsium, ktorí uvádzajú, že chyba je spôsobená pretečením vyrovnávacej pamäte, ktorá ovplyvňuje všetky verzie GRUB2 zavádzačov. Vďaka tomu je možné parsovať obsah z konfiguračného súboru grub.cfg, ktorý zvyčajne nie je kryptograficky podpísaný ako iné spustiteľné súbory.
Táto zraniteľnosť ponecháva útočníkovi možnosť prerušiť hardvérový mechanizmus dôveryhodnosti. Je potrebné poznamenať, že súbor grub.cfg je umiestnený v systémovej partícii EFI, kvôli čomu potrebuje útočník na úpravu súboru počiatočnú oporu v cieľovom systéme s oprávneniami správcu, ktoré by mu nakoniec poskytli ďalšiu eskaláciu oprávnení a pretrvávajúci prístup k zariadeniu.
Aby mohol útočník využiť zraniteľnosť BootHole na Windowsoch, môže nahradiť predvolené nainštalované zavádzače zraniteľnou verziou GRUB2, ktorá mu následne umožní nainštalovať rootkit malvér. „Tento problém sa týka aj všetkých zariadení so systémom Windows, ktoré používajú Secure Boot so štandardnou certifikačnou autoritou UEFI od spoločnosti Microsoft,“ uvádza správa.
Čo ale robí zraniteľnosť obzvlášť nebezpečnou, je fakt, že umožňuje hackerom spustiť škodlivý kód ešte pred zavedením operačného systému, čo následne bezpečnostnému softvéru a antivírusom sťažuje zisťovanie prítomnosti. Vedci zároveň dodávajú, prostredie UEFI nedisponuje technológiou ASLR, prevenciou spúšťania údajov (DEP/NX) či inými technikami moderných OS, ktoré zabraňujú zneužitiu systémov.
Samotná inštalácia aktualizácií a opráv by pravdepodobne problém nevyriešila
Odborníci z Eclypsia sa už obrátili na súvisiace priemyselné subjekty, vrátane dodávateľov OS a výrobcov počítačov, aby im pomohli problém vyriešiť. Zdá sa však, že to nebude vôbec ľahké. Samotná inštalácia opráv s aktualizovaným zavádzačom GRUB2 by totiž problém nevyriešila, nakoľko útočníci môžu stále nahradiť existujúci zavádzač zariadenia jeho zraniteľnou verziou.
Podľa vedcov si bude zmiernenie problému vyžadovať podpísanie a nasadenie nových zavádzačov, pričom podpisy zraniteľných zavádzačov musia byť zrušené, aby sa zabránilo útočníkom v ich nahradení. Nakoniec je potrebné aktualizovať revokačný dbx zoznam špecifikácie UEFI vo firmvéri každého postihnutého zariadenia, aby sa zabránilo spusteniu vylúčeného zraniteľného kódu počas zavádzania systému.
Problém však spočíva v tom, že celý tento proces môže trvať roky. Aktualizácie súvisiace s UEFI mali častokrát za následok znefunkčnenie zariadení. Ak by došlo k zavedeniu revokačného dbx zoznamu ešte pred aktualizáciou Linuxového zavádzača, systém by sa nemusel vôbec načítať.
Microsoft aktuálne vydal odporúčania, v rámci ktorých problém uznal a informoval, že pracuje na odstránení problému. Používateľom sa tiež odporúča, aby nainštalovali bezpečnostné záplaty ihneď po ich zverejnení v nasledujúcich týždňoch.
Okrem spoločnosti Microsoft vydalo obdobným spôsobom súvisiace pokyny vysvetľujúce chybu aj mnoho populárnych výrobcov a distribúcií systému Linux, pričom uviedli aj možné zmiernenia problémov, ako aj časovú os nadchádzajúcich bezpečnostných opráv. Nižšie je uvedený zoznam s odkazmi na niektoré z nich:
Čítajte viac z kategórie: Cyber
Ďakujeme, že čítaš Fontech. V prípade, že máš postreh alebo si našiel v článku chybu, napíš nám na redakcia@fontech.sk.
Teraz čítajú
AKTUÁLNE: Obľúbená služba Slovákov sa stala obeťou útoku. Hacker napadol 89 miliónov účtov a odcudzil údaje
Veľká špionáž obyčajných ľudí: Google vie o Slovákoch úplne všetko, týmto trikom okamžite vypneš sledovanie
Cloud alebo externý disk? Slováci v roku 2025 stále nevedia, kde majú ukladať svoje súbory (POROVNANIE)
ROZHOVOR Etický hacker: Zarobím aj 10 000 € mesačne. Zrušil som všetky bankové účty a prešiel na kryptomeny
Veľký operátor bije na poplach: Ak dostaneš takúto SMS, ani ju neotváraj. Môžeš prísť o všetko
NAJČÍTANEJŠIE ZO STARTITUP
Ďalší dlhoročný moderátor opúšťa Markízu: Po 21 rokoch sa lúči s kolegami a divákmi
Poľsko na rázcestí: Výsledok volieb ovplyvní aj Slovensko. O funkciu prezidenta bojujú dva úplne odlišné svety
Dohra zosuvu vo Švajčiarsku: Ľadovec vytvoril jazero, narastá riziko ďalšej katastrofy (VIDEO)
Múzeum Betliar má novú riaditeľku. Inštitúciu povedie po odchode Andrey Predajňovej
Najväčšie pasce v zmluvách o prenájme: Od júla sa menia pravidlá. Advokát radí, ako sa nenechať nachytať
- 24 hod
- 48 hod
- 7 dní
-
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Majú zásoby 85 miliárd m³. Do Európy začne prúdiť nový zdroj plynu z prekvapivej krajiny
- Rusi urobili „geniálny“ ťah. Kým ich vojaci trpia na Ukrajine, africkému štátu dodali najmodernejšiu techniku
- USA a Čína stíchli. Nečakaná európska krajina buduje gigantický AI superpočítač za miliardy eur
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a minuli 120 miliónov eur
-
- Rusi urobili „geniálny“ ťah. Kým ich vojaci trpia na Ukrajine, africkému štátu dodali najmodernejšiu techniku
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Majú zásoby 85 miliárd m³. Do Európy začne prúdiť nový zdroj plynu z prekvapivej krajiny
- Posledná vesmírna hrdinka Sovietskeho zväzu je na smiech, slávu vymenila za propagandu
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a minuli 120 miliónov eur
-
- Rusi urobili „geniálny“ ťah. Kým ich vojaci trpia na Ukrajine, africkému štátu dodali najmodernejšiu techniku
- Za 12 tisíc eur dostaneš auto s dojazdom 2 000 km. Známa značka šokovala svet novým modelom
- Američania ohúrili svet. Z opačného konca planéty vypustili jadrovú raketu, trafila cieľ na meter presne
- Pošlú ich rovno do šrotu. Kontroverzná regulácia Európskej komisie o autách je na spadnutie
- Známa firma vyvinula prvý spaľovací motor s palivom budúcnosti. Trvalo im to 3 roky a minuli 120 miliónov eur
Americké firmy musia zastaviť export do Číny. Softvér bude dostupný len na výnimku
Nvidia stúpa vďaka AI, ale čelí hrozbe. Čínske sankcie ich môžu stáť až 8 miliárd dolárov
Technologický gigant sa topí v problémoch. HP prišlo o tretinu zisku
Slováci platia za mobil najviac v EÚ. Situácia sa môže zmeniť
Čína štartuje odvážnu misiu. Vzorky z asteroidu majú priletieť v roku 2027
NAJČÍTANEJŠIE ZO STARTITUP
Ďalší dlhoročný moderátor opúšťa Markízu: Po 21 rokoch sa lúči s kolegami a divákmi
Poľsko na rázcestí: Výsledok volieb ovplyvní aj Slovensko. O funkciu prezidenta bojujú dva úplne odlišné svety
Dohra zosuvu vo Švajčiarsku: Ľadovec vytvoril jazero, narastá riziko ďalšej katastrofy (VIDEO)
Múzeum Betliar má novú riaditeľku. Inštitúciu povedie po odchode Andrey Predajňovej
Najväčšie pasce v zmluvách o prenájme: Od júla sa menia pravidlá. Advokát radí, ako sa nenechať nachytať
Copyright© 2025 by Startitup, s. r. o. Všetky práva vyhradené