‘BootHole’ 脆弱性が数十億の Windows、Linux システムを危険にさらす

企業セキュリティ研究会社 Eclypsium の研究者たちは、攻撃者がブートローディングプロセス中に悪意のあるコードを挿入して実行するために悪用できる、GRUB2 ブートローダーの深刻な脆弱性を発見しました。

この脆弱性は CVE-2020-10713 として追跡され、「BootHole」と名付けられており、GRUB2 (Grand Unified Bootloader) におけるバッファオーバーフローの脆弱性です。GRUB2 は、システムが起動する際にオペレーティングシステム (OS) をメモリにロードするソフトウェアです。

この欠陥は、Secure Boot を使用する GRUB2 を利用するすべてのオペレーティングシステム (OS) を危険にさらします。Secure Boot は、攻撃からブートプロセスを保護するために設計されたコンポーネントであり、たとえそれが有効であってもです。また、この脆弱性は、GRUB2 を使用していない場合でも、Secure Boot を使用しているシステムにも影響を与えます。

「ほぼすべての署名された GRUB2 のバージョンが脆弱であり、事実上すべての Linux ディストリビューションが影響を受けています。さらに、GRUB2 は Xen などの他のオペレーティングシステム、カーネル、ハイパーバイザーをサポートしています。この問題は、標準の Microsoft 第三者 UEFI 認証局を使用する Secure Boot を持つすべての Windows デバイスにも及びます」と、Eclypsium は報告書で説明しました。

その結果、ほとんどのノートパソコン、デスクトップ、サーバー、ワークステーション、ネットワーク機器、産業、医療、金融、その他の業界で使用される特別目的の機器が影響を受けると、同社は付け加えました。攻撃者はこの脆弱性を悪用して、持続的で隠密なブートキットや悪意のあるブートローダーをインストールし、被害者のデバイスに「ほぼ完全な制御」を与えることができます。

研究者によると、実際の BootHole 脆弱性は GRUB2 設定ファイル (grub.cfg) 内にあり、これは一般的に EFI システムパーティションにある外部ファイルです。この脆弱性により、GRUB2 内で任意のコードを実行でき、したがってオペレーティングシステムのブートを制御できます。これにより、攻撃者は GRUB2 設定ファイルの内容を変更して、OS がロードされる前に攻撃コードが実行されるようにすることができます。このようにして、攻撃者はデバイス上で持続性を得ます。

Eclypsium の研究者は、この種の脆弱性を悪用するには、ターゲットデバイスでの特権昇格が必要であると指摘しました。しかし、これは攻撃者にとって、Secure Boot が有効であり、すべてのロードされた実行可能ファイルの署名検証が適切に行われている場合でも、デバイス上での特権の強力な追加昇格と持続性を提供します。

外部の grub.cfg 設定ファイルからコマンドをロードするすべてのバージョンの GRUB2 が脆弱です。BootHole 脆弱性の発見に続き、Eclypsium は OS ベンダー、コンピュータメーカー、CERT など、さまざまな業界団体との責任ある情報開示を調整しました。

「緩和策には、新しいブートローダーを署名して展開する必要があり、脆弱なブートローダーは攻撃者が古い脆弱なバージョンを攻撃に使用するのを防ぐために取り消されるべきです。これはおそらく長いプロセスであり、組織がパッチを完了するまでにかなりの時間がかかるでしょう」と、Eclypsium は指摘しました。

Canonical のセキュリティエンジニアリングディレクターである Joe McManus は次のように述べています。「Eclypsium に感謝します。私たち Canonical は、オープンソースコミュニティと共に、この脆弱性に対抗するために GRUB2 を更新しました。このプロセス中に、GRUB2 においてさらに 7 つの脆弱性を特定し、これらも本日リリースされる更新で修正されます。攻撃自体はリモートの脆弱性ではなく、攻撃者が root 権限を持つ必要があります。その点を考慮すると、私たちはこの脆弱性が野外で広く使用されるものとは見ていません。しかし、この取り組みは、オープンソースソフトウェアを非常に安全にするコミュニティの精神を本当に体現しています。」

一方、SUSE セキュリティチームのリーダーである Marcus Meissner は、問題が深刻でありパッチが必要である一方で、それほど悪くはないと指摘しました。

「ブートローダーへの root アクセスが必要であることを考えると、記載された攻撃は、これらのシステムが他の既知の攻撃によってすでに侵害されていない限り、ほとんどのクラウドコンピューティング、データセンター、個人デバイスのシナリオに対して限られた関連性を持つようです。しかし、信頼できないユーザーがマシンにアクセスできる場合、たとえば、機密コンピューティングシナリオや公共の場で無人キオスクモードで動作するコンピュータにおいては、露出を生じさせます」と Meissner は指摘しました。