Материалы по тегу: secure boot

30.07.2020 [11:34], Юрий Поздеев

Серьезная уязвимость BootHole в GRUB2 ставит под угрозу миллионы систем по всему миру

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2 обновления вызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Постоянный URL: http://servernews.ru/1016991
15.06.2020 [16:56], Алексей Степин

Для следующего релиза Windows Server использование Secure Boot и TPM 2.0 станет обязательным

Windows Server, как и любая другая ОС, не лишена уязвимостей. В эпоху развития облачных и периферийных вычислений информационной безопасности следует уделять повышенное внимание. И именно так поступит Microsoft при выпуске следующей версии Windows Server. Новый релиз предусматривает обязательное наличие в серверной системе функций UEFI и TPM.

Модуль TPM 2.0 (GIGABYTE)

Модуль TPM 2.0 (GIGABYTE)

Многие пользователи систем и серверов на базе Windows Server полагаются на низкоуровневые системы безопасности, в частности, Secure Boot и BitLocker. Они лучше всего работают при наличии соответствующего программного и аппаратного обеспечения. Речь идёт о правильной реализации UEFI и наличии модуля Trusted Platform Module (TPM). Однако и Secure Boot, и TPM не всегда имеются в составе сервера по умолчанию.

Ранее сертификация Windows Server относилась к этому вопросу довольно прохладно, наличие UEFI Secure Boot и TPM не было обязательным. Это порождало и продолжает порождать слабость в системе ИТ-безопасности, когда речь заходит о серверах с Windows Server в качестве операционной системы.

Процесс Secure Boot в операционных системах семейства Windows 10

Процесс Secure Boot в операционных системах семейства Windows 10

Однако сейчас, когда облачных систем и систем периферийных вычислений всё больше, мириться с таким положением дел нельзя. И в Microsoft это понимают. Новая программа сертификации Windows Server предусматривает обязательное наличие TPM 2.0 и Secure Boot, причём для производителей и поставщиков серверов установлен крайний срок 1 января 2021 года.

В новом релизе Windows Server наличие и задействование этих компонентов станет обязательным. Причём речь идёт как о bare-metal установках, так и о виртуальных машинах, запущенных в Hyper-V или сторонних гипервизорах, одобренных в рамках программы Server Virtualization Validation Program (SVVP).

Конечно, пользователей ждут некоторые неудобства, но TPM 2.0 стандарт не новый. Сертификация уже существующих систем на Windows Server предусматривает так называемую фазу Additional Qualification (дополнительная квалификация) — достаточно установить модуль TPM 2.0 и задействовать опцию Secure Boot.

Под вопросом лишь срок выпуска нового крупного релиза Windows Sever. Пока эта дата остаётся в тайне. Можно только сказать, что речь идёт о второй половине текущего года. Следует также отметить, что программа Assurance AQ for Windows Server 2019 также предусматривает включение вышеупомянутых функций.

Постоянный URL: http://servernews.ru/1013443
Система Orphus