นักวิจัยด้านความปลอดภัยจาก Eclypsium พบช่องโหว่ที่มีชื่อรหัสว่า BootHole ช่วยให้แฮกเกอร์สามารถเข้าไปยุ่งเกี่ยวกับกระบวนการบูตเริ่มต้นระบบปฏิบัติการ (OS) ได้ โดยกระบวนการนี้ขึ้นอยู่กับส่วนประกอบที่เรียกว่า bootloaders ที่รับผิดชอบในการโหลดเฟิร์มแวร์ของส่วนประกอบฮาร์ดแวร์คอมพิวเตอร์ทั้งหมด

สำหรับ BootHole เป็นช่องโหว่ใน GRUB2 ซึ่งเป็นหนึ่งในองค์ประกอบ bootloader ที่ได้รับความนิยมมากที่สุดในปัจจุบัน ปัจจุบัน GRUB2 ถูกใช้เป็น bootloader หลักสำหรับ Linux distros หลักทั้งหมด แต่ก็สามารถบูตได้และบางครั้งก็ใช้สำหรับ Windows, macOS และระบบที่ใช้ BSD เช่นกัน

BootHole ทำงานอย่างไร

ช่องโหว่ BootHole ถูกค้นพบเมื่อต้นปีที่ผ่านมาโดยนักวิจัยด้านความปลอดภัยจาก Eclypsium กล่าวว่ารายละเอียดทางเทคนิคได้รับการเผยแพร่ในวันนี้ในบล็อก Eclypsium โดย BootHole ทำให้แฮกเกอร์สามารถเข้าไปยุ่งเกี่ยวกับองค์ประกอบของ GRUB2 เพื่อแทรกซึม และรันโค้ดที่เป็นอันตรายในระหว่างกระบวนการบูตได้ ส่งผลให้แฮกเกอร์สามารถเข้ารหัสที่ควบคุมระบบปฏิบัติการได้อย่างสมบูรณ์ มัลแวร์ประเภทนี้มักรู้จักกันในชื่อ bootkit เพราะมันอาศัยอยู่ใน bootloaders ในหน่วยความจำ Physical บนเมนบอร์ด ในตำแหน่งที่แยกจากระบบปฏิบัติการ เพื่อให้สามารถไม่โดนลบทิ้งไปจากการติดตั้งระบบปฏิบัติการใหม่ ตามรายงานของ Eclypsium ช่องโหว่ BootHole ที่แท้จริงนั้นอยู่ใน grub.cfg ซึ่งเป็นไฟล์กำหนดค่าแยกต่างหากจากองค์ประกอบ GRUB2 จริงจากที่ bootloader โดยดึงการตั้งค่าเฉพาะระบบ แฮกเกอร์สามารถแก้ไขค่าในไฟล์นี้เพื่อกระตุ้นบัฟเฟอร์ภายในองค์ประกอบของ GRUB2 เมื่อมันอ่านไฟล์ในทุกๆ การบูต OS ได้

ที่สำคัญ BootHole สามารถโจมตีได้แม้ในขณะที่เซิร์ฟเวอร์หรือเวิร์กสเตชันเปิดใช้งาน Secure Boot เพราะสำหรับอุปกรณ์บางอย่างหรือการตั้งค่าระบบปฏิบัติการกระบวนการ Secure Boot จะไม่ตรวจสอบความลับของไฟล์ grub.cfg เพื่อให้แฮกเกอร์สามารถแก้ไขเนื้อหาได้

ในช่วงหลายเดือนที่ผ่านมา นักวิจัยฯ Eclypsium ได้แจ้งว่า ระบบฮาร์ดแวร์และซอฟต์แวร์ทั้งหมดจะเกี่ยวกับช่องโหว่ BootHole (CVE-2020-10713) เพราะเมื่อมีการใช้งาน Linux ทุกครั้งจะได้รับผลกระทบจากช่องโหว่นี้ทันที เพราะทุกคนใช้ bootloaders GRUB2 ที่อ่านคำสั่งจากไฟล์ grub.cfg ภายนอก

“นอกเหนือจากระบบ Linux แล้วระบบใดก็ตามที่ใช้ Secure Boot กับ Microsoft UEFI CA มาตรฐานนั้นมีความเสี่ยงต่อปัญหานี้” ทีมวิจัยกล่าวเพิ่มเติมว่า GRUB2 จะส่งผลกระทบต่อระบบปฏิบัติการอื่นที่ใช้ GRUB2 ในกระบวนการ Secure Boot

“เราเชื่อว่าระบบทันสมัยส่วนใหญ่ ที่ใช้อยู่ในปัจจุบันรวมถึงเซิร์ฟเวอร์และเวิร์คสเตชั่นแล็ปท็อปและเดสก์ท็อปและระบบ OT และ IoT ที่ใช้ Linux เป็นจำนวนมากอาจได้รับผลกระทบจากช่องโหว่เหล่านี้ ” ดังนั้นขอให้ผู้ใช้งานควรระมัดระวังในการใช้งานและรอการประกาศการแก้ไขอย่างเป็นทางการต่อไป

ที่มา : https://www.zdnet.com/article/boothole-attack-impacts-windows-and-linux-systems-using-grub2-and-secure-boot/



เนื้อหาที่เกี่ยวข้อง

1. Firefox บน Android อาจถูกโจมตีผ่าน WiFi ผู้ใช้งานควรเร่งอัปเดต

2. SunCrypt Ransomware โจมตีและปล่อยข้อมูลผู้ป่วยโรงพยาบาล UHNJ

3. Doxxing กลั่นแกล้งออนไลน์ สู่การคุกคามในชีวิตจริง

4. ช่องโหว่ IOS XR Zero-day กระทบต่อ Router Cisco เสี่ยง DDoS

5. Phishing ใน Microsoft Outlook แฝง QBot Trojan