安全启动漏洞 BootHole 曝光，几乎影响所有 Linux 和 Windows 设备，超 10 亿台设备中招

技术编辑：芒果果丨发自 思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

影响安全启动功能的漏洞有多厉害？大概就是会影响几乎所有Linux 系统使用的启动加载程序，以及几乎所有使用安全启动的 Windows 设备吧......

被称为“ BootHole”的漏洞，就是这种安全启动功能漏洞，在大多数笔记本电脑、台式机、工作站和服务器的安全启动功能中都属于高级别漏洞。在获得了权限后，就能在你的系统中如入无人之境为所欲为了。

什么是 BootHole？

CVE-2020-10713，被称为 BootHole，CVSS 评级高达 8.2，位于默认的 GNU GRUB 2(GRUB2) ，即使运行系统不使用 GRUB2，也会受到影响。

如果成功利用了 BootHole，则即使在启用了安全启动的情况下，BootHole 也会打开 Windows 和 Linux 设备，任意执行代码。据 Eclypsium 的说法，这意味着攻击者可以通过秘密安装恶意软件获得持久性，并给予他们对设备“几乎完全的控制”。

其实，今年 4 月，业界就发现了这种漏洞的威胁，供应商随即开始共享信息，寻找解决办法。现在，这种漏洞被曝光出来，像 Canonical，Microsoft，Red Hat，SUSE，Debian，Citrix，Oracle 和 VMware 都在今天宣布了建议和缓解措施，其中一些更新立即可用，而其他更新仍将继续。

超 10 亿台设备处于危险之中

对于有多少设备可能受到 BootHole 漏洞威胁的问题，Eclypsium 研发部副总裁约翰•卢凯德斯说：“默认配置可通过 Microsoft UEFI 证书颁发机构启用安全启动，该证书颁发机构自 Windows 8 以来，几乎在所有具有 Windows 徽标认证的设备上都签署了许多易受攻击的 GRUB 版本。”

由于安全引导是自 Windows 8以来销售的大多数系统的默认设置，Eclypsium 指出，这意味着“大多数笔记本电脑、台式机、服务器和工作站以及网络设备都受到了影响。”这个数字很容易超过 10 亿。

发布 Ubuntu 的 Canonical 公司的安全主管 Joe McManus 说：“这是一个有趣的漏洞，感谢 Eclypsium，Canonical 和其他开源社区一起，更新了 GRUB2 来抵御 CVE-2020-10713。”

Joe McManus 透露，“在这个过程中，我们发现了 GRUB2 中另外七个漏洞，这些漏洞也将在今天发布的更新中得到修复。”可以肯定的是，这是开源软件社区内部以及外部合作的一个很好的例子。

BootHole 究竟有何威胁？

UEFI 安全启动过程，以及 GRUB2所扮演的角色，都是高度技术化的。在运行之前，每一个固件和软件都会被检查，任何不能识别的都不会被执行。

确定谁可以对 Secure Boot 数据库信任的代码进行签名是非常重要的，而 Microsoft 的第三方 UEFI 证书颁发机构（CA）是行业标准。

开放源码项目和其他项目使用 shim （一个小型应用程序）来包含供应商证书和代码，以验证和运行 GRUB2引导加载程序。在 shim 加载和验证 GRUB2引导加载程序之前，使用 Microsoft 第三方 UEFI CA 验证 shim。

BootHole 是一个缓冲区溢出漏洞，涉及 GRUB2 如何解析配置文件，使攻击者能够执行任意代码并获得操作系统引导的控制权。

约翰•卢凯德斯说：“Secure Boot旨在防止的Bootkit攻击通常用于持久性，破坏或绕过其他安全措施。最近的勒索软件活动已经攻击了更新的UEFI系统上的Bootloader。由于安全启动将继续正常运行，因此，从理论上讲，这也是隐藏攻击很长时间，窃取凭据或等待触发终止开关的好方法。”

然而，威胁情报专家和 Cyjax CISO 的 Ian Thornton-Trump 并不太担心。他说：“我不愿意在这个问题上完全按下紧急按钮，武器化它必须依赖于一系列漏洞，分层安全的失败，发动攻击以获得操作系统引导加载程序。”

因此，尽管从理论上讲，这确实是一个非常广泛的漏洞，几乎影响了所有平台，但T hornton-Trump 表示：“更大的威胁是漏洞利用更容易获得的攻击表面，如进程劫持和 DLL 注入。”

微软的一位发言人称，“微软意识到了 Linux 常用的 Grand Unified Boot Loader （GRUB）中的一个漏洞，正在努力完成必需的 Windows 更新包的验证和相容性测试。”

据了解，当有关的 Windows 更新出现时，将通过修订作为今天协调披露的一部分发布的安全咨询通知客户，并将包括一个缓解选项，作为未经测试的更新安装。

Linux 供应商对 BootHole 的反应

红帽的产品安全主管 Peter Allor 说：“我们正在与 Linux 社区以及我们的行业合作伙伴紧密合作，为受影响的红帽产品提供更新，包括 Red Hat Enterprise Linux。”

Debian 的一位发言人表示：“ Debian 正在与 Linux 社区的其他成员一起准备更新来解决这个漏洞。安全对我们、我们的用户和我们的社区都非常重要。”

SUSE 的发言人称：“我们知道今天由 Eclypsium 共享的名为 BootHole 的 Linux 漏洞，我们的客户和合作伙伴可以放心，我们已经发布了固定的 GRUB2包，它关闭了 SUSE Linux 所有产品的 BootHole 漏洞，并且正在发布 Linux 内核包、云映像和安装媒体的相应更新。”

因此，总而言之，供应商将为 Linux 发行版和其他供应商更新其安装程序，引导加载程序和填充程序的 GRUB2 修补程序，以解决该漏洞。

新的证书需要由微软第三方 UEFI CA 签署，受影响设备的管理员将需要更新现场安装的操作系统版本以及安装程序图像，包括灾难恢复媒体。每个受影响系统固件中的 UEFI 吊销列表最终都需要更新，以防止启动期间被利用。

国内影响如何？

针对此问题社区用户发表了一些自己的看法：

@Loco：这个漏洞的利用方式是利用管理员权限对引导列表/分区里写入恶意程序，然后恶意程序就能跟随系统引导启动并获得更高权限。然后只要有安全启动功能的都可以被攻击，Windows跟Linux都行。对国内的影响的话可能大也可能不大，有可能会有那种夹带漏洞利用代码的流氓软件之类的，然后小白用户不懂，就给了权限就会中招了。一般来讲只要不给权限，大部分恶意软件都搞不了多大的事，这个漏洞本身需要有权限才能利用，除非它能绕过权限。虽然生效了的话威胁很大，但是合理使用就没啥问题。

@张晋涛：直接影响应该不算太大。Windows 不清楚，但是 Linux 的 grub.cfg 配置文件本身就需要有 root 权限才能访问到， 那么对于已经提供的服务器来说想要利用这个漏洞的前提，基本上机器也已经被攻击了； 但是如果是提供了系统的安装包/软件安装包之类的话，那可能就会危险点。

@edagarli：对国内影响不大，国内几乎没人用 secureboot，也没有出现过什么问题。