GRUB2 부트 로더의 거대한 BootHole 결함으로 수백만의 Windows 및 Linux 시스템이 해커의 위험에 노출됩니다
GRUB2 부트 로더에서 BootHole이라는 심각한 취약점이 발견되었습니다. 수백만 개의 시스템이 해커 (주로 Linux를 실행하는 시스템)에 노출 될 위험이 있지만 Windows도 영향을받습니다. Eclypsium의 보안 연구원이 발견 한 BootHole 취약성에는 CVE-2020-10713 ( "GRUB2 : 제작 된 grub.cfg 파일로 인해 부팅 프로세스 중에 임의 코드가 실행될 수 있음") 및 CVSS 등급 8.2가 지정되었습니다.
보안 부팅이 활성화되어 있고 사실상 모든 Linux 배포에 영향을주는 경우에도이 결함을 악용하여 부팅 프로세스 중에 임의 코드를 실행할 수 있습니다. 그러나이 외에도 취약점으로 인해 표준 Microsoft 타사 UEFI 인증 기관에서 보안 부팅을 사용하는 Windows 시스템이 공격에 노출됩니다.
clypsium은이 취약점의 규모는 "대부분의 랩탑, 데스크탑, 서버 및 워크 스테이션뿐만 아니라 산업, 의료, 금융 및 기타 산업에 사용되는 네트워크 장비 및 기타 특수 장비"에 영향을 미칩니다. BootHole은 오랫동안 알고 지냈지 만 보안 연구원들은 책임의 취약점 공개를 조정하여 운영 체제 개발자, 소프트웨어 엔지니어 및 다른 사람들이 함께 작업하여 수정 프로그램을 만들 수 있도록 도와주었습니다.
그럼에도 불구하고 Eclypsium은 여전히 다음과 같이 경고합니다. 조직이 패치를 완료 할 수 있도록 "
보안 회사 는 이 취약점에 대해 다음과 같이 설명합니다 .
Eclypsium의 분석 과정에서 GRUB2가 GRUB2 구성 파일 (grub.cfg)의 컨텐츠를 구문 분석하는 방식으로 버퍼 오버 플로우 취약점을 식별했습니다. 참고 : GRUB2 구성 파일은 텍스트 파일이며 일반적으로 다른 파일 및 실행 파일과 같이 서명되지 않습니다. 이 취약점은 GRUB2 내에서 임의의 코드 실행을 가능하게하여 운영 체제 부팅을 제어합니다. 결과적으로 공격자는 운영 체제를로드하기 전에 공격 코드가 실행되도록 GRUB2 구성 파일의 내용을 수정할 수 있습니다. 이런 식으로 공격자는 장치에서 지속성을 얻습니다.
이러한 공격에는 공격자가 높은 권한을 가져야합니다. 그러나 보안 부팅이 활성화되어 있고로드 된 모든 실행 파일에서 서명 확인을 올바르게 수행하더라도 공격자에게 장치에 대한 권한 및 지속성의 강력한 추가 에스컬레이션을 제공합니다. Secure Boot의 명시적인 설계 목표 중 하나는 관리자 권한으로 실행하더라도 권한이없는 코드가 보안 부팅을 비활성화하거나 부팅 체인을 수정하여 추가 권한 및 OS 이전 지속성을 얻지 못하도록하는 것입니다.
GRUB2 실행 파일에서 수행 된 서명 확인 외에 grub.cfg 구성 파일의 서명 확인을 수행하기 위해 사용자 지정 코드를 추가 한 부팅 가능한 도구 공급 업체를 제외하고는 외부 grub.cfg에서 명령을로드하는 모든 GRUB2 버전 구성 파일이 취약합니다. 따라서 모든 버전의 Linux에 대해 새로운 설치 프로그램 및 부트 로더를 출시해야합니다. 공급 업체는 Microsoft 타사 UEFI CA에서 서명하려면 새 버전의 부트 로더 shim을 릴리스해야합니다. 영향을받는 모든 버전이 dbx 해지 목록에 추가 될 때까지 공격자는 취약한 shim 및 GRUB2 버전을 사용하여 시스템을 공격 할 수 있습니다. 즉, Microsoft 타사 UEFI CA를 신뢰하는 모든 장치는 해당 기간 동안 취약합니다.
Microsoft 타사 UEFI CA에서 서명 한 shim을 사용하는 공급 업체 외에도 하드웨어 및 장치의 소프트웨어 스택을 제어하는 일부 OEM은 GRUB2에 직접 서명하기 위해 공장에서 하드웨어로 제공되는 자체 키를 사용합니다. 또한 이러한 시스템에 대해 이전에 취약한 GRUB2 버전의 업데이트 및 해지를 제공해야합니다.
권고 통지는 Microsoft , UEFI 포럼 , 데비안 , Canonical , RedHat , SUSE , HP , HPE , VMware 및 Upstream Grub2 프로젝트에 의해 발표되었습니다 .
업데이트 및 픽스 롤아웃에는 다소 시간이 걸릴 수 있으므로 그 동안 조언이 필요합니다.
즉시 부트 로더 파티션 (EFI 시스템 파티션)의 내용을 모니터링하십시오. 그러면 나머지 프로세스에 시간이 걸리고 환경에서 영향을받는 시스템을 식별하는 데 도움이됩니다. Eclypsium 솔루션을 배포 한 사용자는 장치의 "MBR / Bootloader"구성 요소에서이 모니터링을 볼 수 있습니다.
데스크탑, 랩톱, 서버 및 어플라이언스에서 평소대로 OS 업데이트를 계속 설치하십시오. 공격자는 OS 및 응용 프로그램의 권한 에스컬레이션 결함을 활용하여이 취약점을 악용 할 수 있으므로 시스템에 대한 관리 수준의 액세스 권한을 얻는 것이 중요합니다. 이 후에도 시스템은 여전히 취약하지만 필요한 첫 단계입니다. 해지 업데이트가 나중에 설치되면 이전 부트 로더의 작동이 중지됩니다. 여기에는 복구 디스크, 설치 관리자, 엔터프라이즈 골드 이미지, 가상 머신 또는 기타 부트 가능한 미디어가 포함됩니다.
해지 목록 업데이트를 테스트하십시오. 현장에서 사용되는 것과 동일한 펌웨어 버전 및 모델을 구체적으로 테스트하십시오. 테스트 사례 수를 줄이기 위해 최신 펌웨어로 먼저 업데이트하는 것이 도움이 될 수 있습니다.
이 취약점을 해결하려면 해지 업데이트를 배포해야합니다. 모든 부팅 가능한 미디어가 먼저 OS 업데이트를 받았는지 확인하고 한 번에 적은 수의 장치에만 천천히 배포하고 테스트 과정에서 얻은 교훈을이 프로세스의 일부로 통합하십시오.
타사 공급 업체와 협력하여이 문제를 알고 해결하고 있는지 확인하십시오. 이들은 귀하에게 제공하는 서비스 / 솔루션에 대한 적용 가능성과이 높은 등급의 취약점을 해결하기위한 계획에 대한 응답을 제공해야합니다.