Компания Eclypsium, которая специализируется на корпоративных решениях безопасности, обнаружила новую уязвимость, которая позволяет злоумышленникам получить почти полный контроль над системами, работающими под управлением Windows и Linux. Компания утверждает, что уязвимы «миллиарды устройств», включая ноутбуки, настольные ПК, серверы и рабочие станции, а также специализированные компьютеры, используемые в промышленности, здравоохранении, финансовой и других отраслях.

Атака обнаруживает уязвимость в инфраструктуре безопасной загрузки UEFI, которая обычно предотвращает несанкционированный доступ к системе во время загрузки. Скомпрометировав безопасную загрузку, злоумышленники могут использовать вредоносные загрузчики UEFI для получения беспрепятственного доступа к системе и контроля над ней. К счастью, эта атака требует повышенных привилегий, то есть злоумышленнику необходимо содействие инсайдера или наличие доступа к учетным данным, полученного с помощью других средств.

После взлома система внешне работает как обычно, хотя вредоносные программы имеют к ней полный доступ. Вредоносный код находится в загрузчике, то есть сохраняется даже после переустановки операционной системы. Уязвимости присвоен каталожный номер CVE-2020-10713 и рейтинг CVSS 8,2, означающий, что злоумышленники могут использовать эту уязвимость для получения почти полного доступа к устройству.

UEFI Secure Boot является отраслевым стандартом, который защищает почти все серверы и ПК от атак во время загрузки системы. Уязвимость есть во всех системах с UEFI Secure Boot, даже если эта функция отключена.

Secure Boot использует криптографические подписи для проверки кода, который разрешено запускать в процессе загрузки. GRUB2 (Grand Unified Bootloader) управляет загрузкой системы и передачей управления ОС во время загрузки, и если этот процесс скомпрометирован, злоумышленники могут получить полный контроль над системой.

Коротко говоря, атака использует уязвимость переполнения буфера в файле конфигурации GRUB2, который представляет собой текстовый файл, который не защищен, как другие файлы. Это позволяет поместить в GRUB2 произвольный код.

По словам Eclypsium, многие производители выпустят объявления, закрывающие уязвимость одновременно с сообщением о ней. Это Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware, а также множество различных OEM-производителей и поставщиков программного обеспечения. Конечно, для обновления для всех систем понадобится время.