Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Secure Boot -haavoittuvuus käyttöjärjestelmissä

Haavoittuvuus26/2020

Tietoturvatutkijat ovat julkaisseet 29.7. "BootHole" -haavoittuvuuden, joka koskee useita käyttöjärjestelmiä. Hyökkääjät voivat haavoittuvuuden avulla ohittaa Secure Boot -ominaisuuden tarjoaman suojan ja siten saada laitteen lähes täydellisesti haltuunsa.

Käynnistysohjelmisto (boot loader) on ensimmäinen ohjelma, joka suoritetaan käynnistäessä käyttöjärjestelmää. Tietoturvatutkijat ovat havainneet GRUB2:sen olevan haavoittuva puskuriylivuodolle, joka mahdollistaa mielivaltaisen koodin suorittamisen käynnistämisen yhteydessä. 

Secure boot on turvallisuusstandardi, joka on kehitetty varmistamaan, että laite käyttää käynnistyksessä vain tietokonesovelluksia, jotka laitevalmistaja on luokitellut luotettaviksi. PC:n käynnistyessä laiteohjelmisto tarkistaa käynnistysohjelmiston jokaisen osa-alueen tiivisteen (hash). Tarkistuksessa tiivisteitä verrataan tietokannassa oleviin tiivisteisiin. Mikäli tiivisteet täsmäävät, PC käynnistyy ja laiteohjelmisto luovuttaa hallinnan käyttöjärjestelmälle.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Paikallisesti

Vaikutukset

  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

- Lähestulkoon kaikki Linux-käyttöjärjestelmät sekä muut käyttöjärjestelmät, kernelit ja virtualisointialustat, vaikka GRUB2 ei olisikaan käytössä

- Haavoittuvuus koskee myös Windows laitteita, jotka käyttävät standardina Secure Boot -ominaisuutta Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajana

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä

  • GRUB2 viimeisimpään versioon
  • Asennusohjelmat, käynnistysohjelmistot ja apuohjelmat (shim) 
    • Shim tulee allekirjoittaa Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajalla
  • Käyttöjärjestelmät ja asennustiedostot
  • Huomioi myös varmuuskopioiden päivittäminen

UEFI sulkulista (dbx) täytyy päivittää laiteohjelmistotasolla jokaisen järjestelmän osalta, jotta voidaan ennaltaehkäistä haavoittuvan koodin suorittamista käynnistyksen yhteydessä. 

Microsoft on julkaissut omat ohjeensa UEFI-listan päivittämiseen. Linkki löytyy alta.

Lisätietoja

Lisätty linkki Microsoftin oppaaseen aiheesta