2min

Onderzoekers zijn een kwetsbaarheid tegengekomen die bijna alle apparaten met het Windows- of Linux-besturingssysteem treft. Door de bug in de populaire GRUB2-bootloader is het mogelijk code uit te voeren tijdens het bootproces.

De kwetsbaarheid werd eerder dit jaar ontdekt door securityonderzoekers van Eclypsium. BootHole, zoals de bug wordt genoemd, is een kwetsbaarheid in GRUB2. Het betreft de meest gebruikte bootloader voor Linux-distributies op het moment. Daarnaast kan GRUB2 ook gebruikt worden op macOS- en Windows-gebaseerde systemen.

Met de kwetsbaarheid kunnen cybercriminelen controle nemen over het boot-loading process voordat het besturingssysteem is opgestart. Het opstartproces maakt gebruik van boot-loaders die verantwoordelijk zijn voor het laden van computer firmware waarop het besturingssysteem draait. Cybercriminelen kunnen op deze manier toegang krijgen tot Windows pc’s, laptops, workstations en servers. Om deze kwetsbaarheid te gebruiken, is het wel nodig om fysieke toegang te hebben tot deze systemen.

Hoe werkt BootHole?

Volgens onderzoekers van Eclypsium wordt de kwetsbaarheid veroorzaakt door de manier waarop het configuratiebestand van GRUB2, namelijk grub.cfg, wordt verwerkt.

Secure Boot, de tool van Microsoft om rootkits tegen te gaan, controleert normaliter de digitale handtekening van bestanden die de firmware laadt bij het opstarten van een besturingssysteem. Het grub.cfg-bestand heeft geen digitale handtekening en wordt dus ook niet door Secure Boot gecontroleerd. Door het aanpassen van dit bestand kan iemand een buffer overflow veroorzaken binnen GRUB2 waardoor de aanvaller willekeurige bootcode kan aanpassen.

De aanvaller kan nu zonder problemen drivers en andere uitvoerbare bestanden laden zonder dat Secure Boot dit doorheeft. Het is ook mogelijk om een rootkit te installeren om volledige toegang te krijgen tot het systeem.

Patchen

Het bedrijf vermoedt dat elke Linux-distributie last heeft van BootHole. Beheerders en gebruikers wordt aangeraden om GRUB2 te updaten. Microsoft werkt al aan een patch voor de kwetsbaarheid en Red Hat heeft al een patch uitgebracht voor Red Hat Enterprise Linux.