新的缺陷使安全啟動無效但沒有理由驚慌

研究人員在周三說，GRUB2是全球啟動計算機使用最廣泛的程序之一，它具有一個漏洞，可以使攻擊者更容易在啟動過程中運行惡意固件。這將影響數百萬甚至可能數億的計算機。雖然GRUB2主要用于運行Linux的計算機，但利用漏洞攻擊的攻擊也可以在許多運行Windows的PC上進行。

由安全公司Eclypsium的研究人員發現的該漏洞對UEFI Secure Boot構成了又一嚴重威脅??，UEFI Secure Boot是一種行業標準，使用加密簽名來確保計算機制造商信任啟動期間使用的軟件。安全啟動旨在防止攻擊者通過用惡意軟件替換目標軟件來劫持啟動過程。

更隱形，功能更強大且難以消毒

所謂的引導程序包是最嚴重的感染類型之一，因為它們在軟件堆棧的最低級別運行。這樣一來，該惡意軟件就可以比大多數惡意軟件更隱密，可以在操作系統重新安裝后幸存下來，并且可以規避操作系統中內置的安全保護措施。

研究人員將其命名為Boot Hole漏洞，其起因于緩沖區溢出，即GRUB2解析grub.cfg(引導加載程序的主要配置文件)中的文本。通過在文件中添加長文本字符串，攻擊者可以使為該文件分配的內存空間過滿，并導致惡意代碼溢出到內存的其他部分，然后在其中執行該代碼。

配置文件未進行數字簽名，因此安全啟動不會檢測到何時對其進行了惡意更改。GRUB2也不使用地址空間布局隨機化，數據執行保護以及操作系統中標準的其他反利用保護。這些遺漏使已經在目標計算機上立足于利用該漏洞的攻擊者變得微不足道。從那里開始，他們可以完全繞過許多人希望防止Bootkit受阻的保護措施。

除了Eclypsium報告外，Debian 在此還提供了詳盡的概述。

但是有一些主要問題

但是，此漏洞的嚴重性已被一些因素抵消。首先，攻擊者必須具有對計算機的管理權限或對計算機的物理訪問權。由于現代OS在阻止漏洞利用方面取得了重大進步，因此越來越難獲得管理員級別的控制。在過境或用戶暫時失去對計算機的實際擁有權的類似時刻，物理訪問可能會更容易。但是在大多數其他情況下，要求很高，因此不太可能影響許多用戶。而且，物理財產極大地限制了攻擊的可擴展性。

還有兩個其他因素可以使Boot Hole變得不那么令人恐懼：已經對計算機進行管理或物理控制的攻擊者已經有了許多其他方法來感染高級和隱秘的惡意軟件。此外，還有其他幾種繞過安全啟動的已知技術。

“我認為安全啟動并不是當今PC安全的基礎，因為它很少有效，并且，根據他們[Eclypsium]的主張，它已經很容易繞過了一年，沒有長期修復措施。 Atredis Partners研發副總裁兼軟件開發專家HD Moore告訴我。“我不確定GRUB2中的緩沖區溢出對什么有用，因為如果grub.cfg是未簽名的，還會有其他問題。“它可能作為惡意軟件載體很有用，但是即使那樣，當可以使用自定義grub.cfg文件代替鏈式加載真實操作系統時，也沒有理由利用緩沖區溢出。”

其他研究人員似乎也同意這一評估。跟蹤漏洞后，CVE-2020-10713的嚴重等級為“中等”。

極樂世界聲稱摩爾所指的是在2月份撤銷了一個引導裝載程序安全公司卡巴斯基實驗室的工作，該公司將卡盤用于啟動用于禁用計算機的應急磁盤。撤銷引起了很多問題，以至于負責監督驗證過程的Microsoft 回滾了更改。撤銷不僅強調修補Boot Boot之類的缺陷的難度(稍后會詳細介紹)，而且還強調了繞過Secure Boot的可能性。

不可怕并不意味著不認真

開發的障礙和局限性并不意味著該漏洞不值得認真對待。安全啟動是專為利用啟動孔所需的方案而創建的。受影響的計算機和軟件制造商的數量加劇了風險。極樂世界列出了受影響者的完整列表。他們是：

另一個需要認真考慮的問題是推出無法永久阻止計算機啟動的更新程序的挑戰，這種現象通常稱為“磚化”。正如卡巴斯基事件所顯示的那樣，這種風險是真實存在的，并且可能帶來可怕的后果。

修復混亂本身就是一團糟

修復程序涉及一個多步驟的過程，該過程并不容易，在許多情況下也不是很快的。首先，必須更新GRUB2以修復該漏洞，然后再分發給大型組織的制造商或管理員。在那里，工程師將必須對其支持的每種計算機型號進行徹底的更新測試，以確保機器不會變硬。對于必須這樣做的機器，更新必須是固定的。只有這樣，該更新才可以正常安裝。

即使那樣，對于具有上述特權的攻擊者來說，將GRUB2回滾到其易受攻擊的版本并利用緩沖區溢出也將是微不足道的。盡管Windows計算機通常沒有安裝GRUB2，但是特權攻擊者通常可以安裝它。為了消除此漏洞，計算機制造商將必須撤銷可驗證舊版本的加密簽名或加載舊版本的“填充”固件。

此步驟也冒著砌磚機的風險。如果在安裝GRUB2版本之前撤銷了簽名(對于Windows計算機，則為其他引導組件的簽名)，則在進行充分的測試之前，數百萬臺計算機也有被阻塞的風險。

為了避免這種可能性，Microsoft，Red Hat，Canonical以及其他操作系統和硬件制造商通常分兩個步驟提供修復程序。首先，只有在經過測試并認為可以安全安裝后，才會發布GRUB2更新。然后，在可能持續數月的一段時間后，簽名將被撤銷。僅在完成第二步之后，才會修補漏洞。

Microsoft經營著證書頒發機構，該證書頒發機構對由制造商適當授權的UEFI簽名進行認證，并發布了以下聲明：

我們知道Linux常用的GRand Unified Boot Loader(GRUB)中存在一個漏洞。要利用此漏洞，攻擊者需要在配置了安全啟動以信任Microsoft UEFI CA的系統上具有管理特權或物理訪問權限。我們正在努力完成必需的Windows Update程序包的驗證和兼容性測試。

微軟發言人表示，該公司將為急需的IT管理員提供“緩解選項，以安裝未經測試的更新”。發言人說，微軟將在未指定的時間發布修補程序，以提供一般可用性。Microsoft已在此處發布了知識庫文章。

來自其他受影響公司的建議太多，無法在本文的初始版本中提供。暫時，讀者應檢查受影響公司的網站。這篇文章將在以后更新以提供鏈接。

目前，沒有理由恐慌。對漏洞利用的苛刻要求使此漏洞的嚴重程度適中。就像已經提到的，安全啟動已經容易受到其他旁路技術的攻擊。這并不意味著沒有理由認真對待此漏洞。盡快對它進行修補，但只有經過有經驗的用戶或受影響的操作系統和軟件制造商的全面測試之后，才能進行修補。同時，不要失去任何睡眠。