Secure Boot -haavoittuvuus käyttöjärjestelmissä | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Secure Boot -haavoittuvuus käyttöjärjestelmissä

30. heinäkuuta 2020 klo 14.30, päivitetty 31. heinäkuuta 2020 klo 8.25

Tietoturvatutkijat ovat julkaisseet 29.7. "BootHole" -haavoittuvuuden, joka koskee useita käyttöjärjestelmiä. Hyökkääjät voivat haavoittuvuuden avulla ohittaa Secure Boot -ominaisuuden tarjoaman suojan ja siten saada laitteen lähes täydellisesti haltuunsa.

Käynnistysohjelmisto (boot loader) on ensimmäinen ohjelma, joka suoritetaan käynnistäessä käyttöjärjestelmää. Tietoturvatutkijat ovat havainneet GRUB2:sen olevan haavoittuva puskuriylivuodolle, joka mahdollistaa mielivaltaisen koodin suorittamisen käynnistämisen yhteydessä. 

Secure boot on turvallisuusstandardi, joka on kehitetty varmistamaan, että laite käyttää käynnistyksessä vain tietokonesovelluksia, jotka laitevalmistaja on luokitellut luotettaviksi. PC:n käynnistyessä laiteohjelmisto tarkistaa käynnistysohjelmiston jokaisen osa-alueen tiivisteen (hash). Tarkistuksessa tiivisteitä verrataan tietokannassa oleviin tiivisteisiin. Mikäli tiivisteet täsmäävät, PC käynnistyy ja laiteohjelmisto luovuttaa hallinnan käyttöjärjestelmälle.

Haavoittuvuuden kohde

- Lähestulkoon kaikki Linux-käyttöjärjestelmät sekä muut käyttöjärjestelmät, kernelit ja virtualisointialustat, vaikka GRUB2 ei olisikaan käytössä

- Haavoittuvuus koskee myös Windows laitteita, jotka käyttävät standardina Secure Boot -ominaisuutta Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajana

Mistä on kysymys?

Päivitä

  • GRUB2 viimeisimpään versioon
  • Asennusohjelmat, käynnistysohjelmistot ja apuohjelmat (shim) 
    • Shim tulee allekirjoittaa Microsoftin kolmannen osapuolen UEFI varmennepalvelujen tarjoajalla
  • Käyttöjärjestelmät ja asennustiedostot
  • Huomioi myös varmuuskopioiden päivittäminen

UEFI sulkulista (dbx) täytyy päivittää laiteohjelmistotasolla jokaisen järjestelmän osalta, jotta voidaan ennaltaehkäistä haavoittuvan koodin suorittamista käynnistyksen yhteydessä. 

Microsoft on julkaissut omat ohjeensa UEFI-listan päivittämiseen. Linkki löytyy alta.

Mitä voin tehdä?

THERE’S A HOLE IN THE BOOT

GRUB2 bootloader is vulnerable to buffer overflow

Microsoft Guidance for Addressing Security Feature Bypass in GRUB

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

31. heinäkuuta 2020 klo 8.25 Lisätty linkki Microsoftin oppaaseen aiheesta