www.belgium.be Logo of the federal government

Opgepast voor de Boothole kwetsbaarheid

Alert

Doel

De bedoeling van deze waarschuwing is de aandacht te vestigen op de kwetsbaarheid die "BootHole" wordt genoemd. Het is een wereldwijde kwetsbaarheid die in een breed scala aan producten affecteert. Systeembeheerders moeten zich bewust zijn van deze kwetsbaarheid en zo snel mogelijk beschikbare oplossingen implementeren.

Samenvatting

De kwetsbaarheid "BootHole" (CVE-2020-10713) heeft gevolgen voor systemen die op Windows en Linux draaien. De getroffen software GRUB2 wordt gebruikt in het belangrijkste veiligheidsaspect van elk apparaat: het opstartproces. De “BootHole” kwetsbaarheid is een “Bootkit”, een kwaadaardig programma dat is ontworpen om zo vroeg mogelijk in het opstartproces te worden gestart, om vervolgens alle fasen van het opstarten van het besturingssysteem te controleren, waarbij de systeemcode en drivers gewijzigd worden voordat antivirus en andere beveiligingscomponenten hun werk kunnen doen.

Technische details

Zelfs met een beveiligde opstartfunctie kan tijdens het opstartproces willekeurige code uitgevoerd worden. De kwetsbaarheid op zich is een ‘buffer overflow’ die optreedt bij het laden van het grub.cfg bestand. Het gebeurt op zo'n manier dat het ook de verificatie van de digitale handtekening (signature) omzeilt.

Risico's

Als een aanvaller eenmaal lokale of geprivilegieerde toegang heeft tot een kwetsbaar apparaat, kan hij een alternatieve (niet-vertrouwde en gewijzigde) kernel in het systeem opladen met daarin kwaadaardige code en zo een bufferoverloop veroorzaken. Het grootste risico is dat een aanvaller door het aanpassen van het opstartproces het systeem volledig overneemt/controleert. Er is geen eenvoudige manier om dit te detecteren en het herstel houdt vaak in dat de machine volledig opnieuw geïnstalleerd moet worden.

De preventieve acties en workarounds per verkoper, vindt u hieronder.