Doel
De bedoeling van deze waarschuwing is de aandacht te vestigen op de kwetsbaarheid die "BootHole" wordt genoemd. Het is een wereldwijde kwetsbaarheid die in een breed scala aan producten affecteert. Systeembeheerders moeten zich bewust zijn van deze kwetsbaarheid en zo snel mogelijk beschikbare oplossingen implementeren.
Samenvatting
De kwetsbaarheid "BootHole" (CVE-2020-10713) heeft gevolgen voor systemen die op Windows en Linux draaien. De getroffen software GRUB2 wordt gebruikt in het belangrijkste veiligheidsaspect van elk apparaat: het opstartproces. De “BootHole” kwetsbaarheid is een “Bootkit”, een kwaadaardig programma dat is ontworpen om zo vroeg mogelijk in het opstartproces te worden gestart, om vervolgens alle fasen van het opstarten van het besturingssysteem te controleren, waarbij de systeemcode en drivers gewijzigd worden voordat antivirus en andere beveiligingscomponenten hun werk kunnen doen.
Technische details
Zelfs met een beveiligde opstartfunctie kan tijdens het opstartproces willekeurige code uitgevoerd worden. De kwetsbaarheid op zich is een ‘buffer overflow’ die optreedt bij het laden van het grub.cfg bestand. Het gebeurt op zo'n manier dat het ook de verificatie van de digitale handtekening (signature) omzeilt.
Risico's
Als een aanvaller eenmaal lokale of geprivilegieerde toegang heeft tot een kwetsbaar apparaat, kan hij een alternatieve (niet-vertrouwde en gewijzigde) kernel in het systeem opladen met daarin kwaadaardige code en zo een bufferoverloop veroorzaken. Het grootste risico is dat een aanvaller door het aanpassen van het opstartproces het systeem volledig overneemt/controleert. Er is geen eenvoudige manier om dit te detecteren en het herstel houdt vaak in dat de machine volledig opnieuw geïnstalleerd moet worden.
De preventieve acties en workarounds per verkoper, vindt u hieronder.
Getroffen verkopers en workarounds
Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV20...
Oracle (geen workaround beschikbaar)
Red Hat https://access.redhat.com/security/vulnerabilities/grub2bootloader
Canonical https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-10713.html
SuSE https://www.suse.com/c/suse-addresses-grub2-secure-boot-issue/
Debian https://www.debian.org/security/2020/dsa-4735
Citrix (geen workaround beschikbaar)
VMware https://kb.vmware.com/s/article/80181
UEFI Forum https://uefi.org/revocationlistfile (updated revocation list)
HP https://support.hp.com/us-en/document/c06707446
HPE https://techhub.hpe.com/eginfolib/securityalerts/Boot_Hole/boot_hole.html
NSA https://media.defense.gov/2020/Jul/30/2002467902/-1/-1/0/CSA_MITIGATE_TH...