BootHole kwetsbaarheid maakt devices met Secure Boot kwetsbaar voor aanvallen

Security onderzoekers van het bedrijf Eclypsium hebben een kwetsbaarheid ontdekt die zij de naam “BootHole” hebben gegeven. De GRUB2 bootloader, waar de meeste op Linux gebaseerde systemen gebruik van maken, kan misbruikt worden om willekeurige code uit te voeren tijdens het opstart (boot) proces, zelfs wanneer Secure Boot is ingeschakeld. Aanvallers die misbruik maken van de kwetsbaarheid kunnen persistente en verborgen bootkits of kwaadaardige bootloaders installeren, waarmee bijna de volledige controle over het device van het slachtoffer kan overgenomen worden.

Deze kwetsbaarheid heeft impact op systemen die gebruik maken van Secure Boot, zelfs wanneer ze geen gebruik maken van GRUB2. Bijna alle ondertekende versies van GRUB2 zijn kwetsbaar, dit betekend dat alle Linux distributies kwetsbaar zijn. GRUB2 wordt ook ondersteund door andere besturingssystemen, kernels en hypervisors zoals Xen. Alle Windows devices die Secure Boot gebruik met de standaard Microsoft Third Party UEFI Certificate Authority zijn ook kwetsbaar.

Dit betekend dat de meeste laptops, desktops, servers en werkstations kwetsbaar zijn voor BootHole. Daarnaast zijn ook netwerkapparatuur en andere speciale apparatuur gebruikt door onder andere de Industrie, Gezondheidszorg en Financiën kwetsbaar. Kwaadaardige actoren die recent zijn ontdekt met het gebruik van kwaadaardige UEFI bootloaders, zullen ook misbruik kunnen gaan maken van deze kwetsbaarheid.

Eclypsium heeft de responsible disclosure voor de BootHole kwetsbaarheid afgestemd met verschillende besturingssysteem leveranciers, computermakers en CERTs. Mitigatie van deze kwetsbaarheid vereist dat nieuwe bootloaders worden ondertekend en uitgerold. Alle kwetsbare bootloaders moeten worden teruggetrokken om te voorkomen dat oudere versies worden misbruikt in aanvallen. “Dit wordt naar alle waarschijnlijkheid een lang proces en zal veel tijd van organisaties vragen om alle patches door te voeren,” geeft Eclypsium aan.

De BootHole kwetsbaarheid

De BootHole kwetsbaarheid is een buffer overflow in de manier hoe GRUB2 content verwerkt van het GRUB2 configuratie bestand (grub.cfg). Deze kwetsbaarheid zorgt ervoor dat het mogelijk is om willekeurige code uit te voeren binnen GRUB2 en zo de controle te krijgen over het opstarten van het besturingssysteem. Hiermee kan een aanvaller het configuratie bestand aanpassen om ervoor te zorgen dat kwaadaardige code wordt uitgevoerd, voordat het besturingssysteem wordt ingeladen. Aanvallers krijgen hiermee persistentie op het device.

De aanvaller heeft wel verhoogde privileges nodig op het device, maar als het lukt krijgt de krijgt de aanvaller wel een krachtige additionele escalatie van privileges en persistentie op het device. Zelfs wanneer Secure Boot is ingeschakeld en signature verificatie op de juiste manier wordt uitgevoerd op alle ingeladen uitvoerbare bestanden. Secure Boot is zelfs ontworpen met een van de belangrijkste doelen om ongeautoriseerde code te voorkomen, zelfs wanneer iemand administrator privileges heeft.

Uitgezonderd van één bootable tool leverancier die extra code heeft toegevoegd voor signature verificatie van het configuratie bestand (grub.cfg), zijn alle versies van GRUB2 die commando’s inladen van een externe grub.cfg configuratie bestand kwetsbaar. Dit zorgt ervoor dat er nieuwe installers en bootloaders uitgebracht moeten worden voor alle Linux versies. De Microsoft 3rd Party UEFI CA zal al deze nieuwe bootloader shims moeten ondertekenen. Pas wanneer alle kwetsbare bootloader versies zijn toegevoegd aan de “dbx revocation list”, dan kan er geen misbruik meer gemaakt worden van de kwetsbaarheid. In de tussentijd zijn alle devices die de Microsoft 3rd Party UEFI CA kwetsbaar.

Aan de kwetsbaarheid is CVE-2020-10713 toegewezen met een CVSS score van 8.2/10. Onderstaande afbeeldingen laten zien willekeurige code wordt toegevoegd.

Impact

Door een zwakheid in de manier hoe GRUB2 omgaat met het configuratie bestand, kan een aanvaller willekeurige code uitvoeren om signature verificatie te omzeilen. De BootHole kwetsbaarheid kan gebruikt worden door aanvallers om persistente en verborgen bootkits of kwaadaardige bootloaders te installeren, zelfs wanneer Secure Boot is ingeschakeld. Een aanvaller kan hiermee zijn code later draaien voordat het besturingssysteem is ingeladen, zodat deze de controle heeft hoe het besturingssysteem wordt ingeladen, het patchen van het besturingssysteem en zelfs de bootloader later verwijzen naar andere besturingssysteem images. Een aanvaller heeft zo ongelimiteerde controle over het device. Doordat kwaadaardige bootloaders recent zijn gezien dat deze in het wild worden misbruikt, via deze kwetsbaarheid kunnen deze dus gebruikt worden.

Alle ondertekende versies van GRUB2 die commando’s lezen van een externe grub.cfg bestand zijn kwetsbaar, dit heeft impact op iedere Linux distributie. Op dit moment zijn er meer dan 80 shims bekend die kwetsbaar zijn. Andere besturingssystemen die gebruik maken van Secure Boot met de standaard Microsoft UEFI CA zijn ook kwetsbaar. Op basis van deze informatie geeft Eclypsium aan dat de meeste van de moderne systemen die vandaag de dag worden gebruikt, kwetsbaar zijn voor de BootHole kwetsbaarheid. Dit zijn onder andere servers, werkstations, laptops, desktops en een groot aantal op Linux gebaseerde OT en IoT systemen.

Additioneel zijn alle hardware root of trust mechanismes die vertrouwen op UEFI Secure Boot ook mogelijk te omzeilen.

Mitigatie

Volledige mitigatie van de kwetsbaarheid vereist gezamenlijke inspanningen van verschillende entiteiten: kwetsbare open-source projecten, Microsoft en de eigenaren van kwetsbare systemen. Onder andere de volgende stappen moeten uitgevoerd worden:

  1. Het updaten van GRUB2 voor deze kwetsbaarheid;
  2. Linux distributies en andere leveranciers die gebruik maken van GRUB2 moeten hun installatiebestanden, bootloaders en shims updaten;
  3. De nieuwe shims moeten ondertekend worden door de Microsoft 3rd Party UEFI CA;
  4. Administrators van de kwetsbare devices moeten geïnstalleerde versies van besturingssystemen en ook installatiebestanden zoals disaster recovery updaten;
  5. Uiteindelijk zal de UEFI revocation list (dbx) geüpdatet moeten worden voor de firmware van iedere kwetsbaar systeem om te voorkomen dat kwetsbare code wordt gedraaid tijdens het opstarten.

De volgende zullen allemaal advisories en/of updates uitbrengen:

Het volledige revocation proces zal heel langzaam gaan, aangezien UEFI gerelateerde updates in het verleden apparaten onbruikbaar hebben gemaakt. Wanneer de revocation list (dbx) al wordt geüpdatet voordat de Linux bootloader en shim zijn geüpdatet, dan zal het besturingssysteem niet ingeladen worden. Daarom zal het updaten van de revocation list over een langere tijd plaatsvinden.

Aanbevelingen

Eclypsium geeft de volgende aanbevelingen mee voor organisaties:

  1. Begin direct met het monitoren van de content van de bootloader partitie. Hiermee kunnen kwetsbare systemen in jouw omgeving worden gevonden;
  2. Blijf besturingssysteem updates installeren als gewoon voor desktops, laptops, servers en netwerkapparaten. Hiermee kan er voorkomen worden dat aanvallers misbruik kunnen maken van recente privilege escalatie kwetsbaarheden om administrator privileges te krijgen op het device. De devices blijven nog wel kwetsbaar, totdat de nieuwe revocation update wordt geïnstalleerd en de oude bootloader niet meer werkt;
  3. Het testen van de revocation list update. Zorg ervoor dat dezelfde firmware versions en modellen worden getest die op dit moment worden gebruikt in de organisatie. Het kan helpen om de devices eerst naar de laatste firmware versies te updaten, om zo te voorkomen dat er meer getest moet worden;
  4. Om deze kwetsbaarheid aan te pakken moet de revocation update uitgerold worden. Er moet voor gezorgd worden dat alle opstartbare media voorzien is van besturingssysteem updates. Rol de revocation update eerst uit naar een klein aantal devices en neem de lessons learned van het testen mee in het proces;
  5. Neem contact op met je leveranciers en valideer of ze er van op de hoogte zijn en bezig zijn met het oplossen van de kwetsbaarheid. Leveranciers zullen hier antwoord op moeten geven van de toepasbaarheid op hun oplossingen en wat hun plannen zijn voor het oplossen van de kwetsbaarheid.

Updates

  • Microsoft – Op dit moment bezig met het testen van de updates
  • UEFI Security Response Team (USRT) – een geüpdatet versie van de revocation list
  • Oracle
  • Red Hat (Fedora and RHEL) – updates uitgebracht voor verschillende packages
  • Canonical (Ubuntu) – Updates uitgebracht
  • SuSE (SLES and openSUSE) – updates uitgebracht voor verschillende packages
  • Debian – updates uitgebracht voor verschillende packages
  • Citrix
  • VMware – verwacht op 30 juli de update voor Photon OS uit te brengen
  • HP – bezig met updates
  • HPE

Advies

Er wordt aangeraden om de aanbevelingen van Eclypsium op te volgen en de updates wanneer deze beschikbaar zijn volgens de aanbevelingen op de juiste manier te installeren.

Belangrijk om ook in de advisories van de leveranciers te kijken van de systemen die gebruikt worden binnen de organisaties hoe het beste de updates geïnstalleerd kunnen worden.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Kwetsbaarheid in Cisco FTD en ASA zorgt voor lek van gevoelige data
Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

Gerelateerde berichten

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

cisco

Cisco IOS XR zero-day kwetsbaarheid actief misbruikt

thuiswerken

Thuiswerken zorgt voor een toename aan security incidenten

MS Teams

Microsoft Teams Updater misbruikt om “living of the land” aanvallen uit te voeren

teamviewer

TeamViewer kwetsbaarheid kan hackers het systeemwachtwoord laten stelen

Trickbot

Nieuwe string TrickBot Anchor Malware infecteert zowel Linux- als Windows-systemen

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

17 − elf =

Menu