Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Secure Boot -haavoittuvuus käyttöjärjestelmissä

Haavoittuvuus26/2020

Julkaistu
Päivitetty

Tietoturvatutkijat ovat julkaisseet 29.7. "BootHole" -haavoittuvuuden, joka koskee useita käyttöjärjestelmiä. Hyökkääjät voivat haavoittuvuuden avulla ohittaa Secure Boot -ominaisuuden tarjoaman suojan ja siten saada laitteen lähes täydellisesti haltuunsa.

Käynnistysohjelmisto (boot loader) on ensimmäinen ohjelma, joka suoritetaan käynnistäessä käyttöjärjestelmää. Tietoturvatutkijat ovat havainneet GRUB2:sen olevan haavoittuva puskuriylivuodolle, joka mahdollistaa mielivaltaisen koodin suorittamisen käynnistämisen yhteydessä. 

Secure boot on turvallisuusstandardi, joka on kehitetty varmistamaan, että laite käyttää käynnistyksessä vain tietokonesovelluksia, jotka laitevalmistaja on luokitellut luotettaviksi. PC:n käynnistyessä laiteohjelmisto tarkistaa käynnistysohjelmiston jokaisen osa-alueen tiivisteen (hash). Tarkistuksessa tiivisteitä verrataan tietokannassa oleviin tiivisteisiin. Mikäli tiivisteet täsmäävät, PC käynnistyy ja laiteohjelmisto luovuttaa hallinnan käyttöjärjestelmälle.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Paikallisesti

Vaikutukset

  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Ongelman rajoittaminen

Haavoittuvuuden kohde

- Lähestulkoon kaikki Linux-käyttöjärjestelmät sekä muut käyttöjärjestelmät, kernelit ja virtualisointialustat, vaikka GRUB2 ei olisikaan käytössä

- Haavoittuvuus koskee myös Windows laitteita, jotka käyttävät standardina Secure Boot -ominaisuutta Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajana

Mistä on kysymys?

Päivitä

  • GRUB2 viimeisimpään versioon
  • Asennusohjelmat, käynnistysohjelmistot ja apuohjelmat (shim) 
    • Shim tulee allekirjoittaa Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajalla
  • Käyttöjärjestelmät ja asennustiedostot
  • Huomioi myös varmuuskopioiden päivittäminen

UEFI sulkulista (dbx) täytyy päivittää laiteohjelmistotasolla jokaisen järjestelmän osalta, jotta voidaan ennaltaehkäistä haavoittuvan koodin suorittamista käynnistyksen yhteydessä. 

Microsoft on julkaissut omat ohjeensa UEFI-listan päivittämiseen. Linkki löytyy alta.

Mitä voin tehdä?

THERE’S A HOLE IN THE BOOT (Ulkoinen linkki)

GRUB2 bootloader is vulnerable to buffer overflow (Ulkoinen linkki)

Microsoft Guidance for Addressing Security Feature Bypass in GRUB (Ulkoinen linkki)

Lisätty linkki Microsoftin oppaaseen aiheesta