พบช่องโหว่ ‘BootHole’ ในการใช้งาน GRUB2 คาดกระทบ Linux เกือบทุกเวอร์ชัน

นักวิจัยจาก Eclypsium ผู้เชี่ยวชาญด้าน Cybersecurity ได้เปิดเผยช่องโหว่ที่เกิดขึ้นในส่วนประกอบของ GRUB2 ซึ่งเป็น Boot Loader ที่นิยมใช้กันใน Linux  

GRand Unified Bootloader version 2 (GRUB2) เป็น Boot Loader ที่นิยมใช้กันในระบบปฏิบัติการ Linux ซึ่งยังรองรับกับ Windows, macOS ไปจนถึง BSD ได้ด้วย (ศึกษาเพิ่มเติมได้ที่นี่) 

ประเด็นก็คือนักวิจัยได้มีการค้นพบช่องโหว่ที่ชื่อ BootHole หรือ CVE-2020-10713 ที่ช่วยให้ผู้โจมตีสามารถใช้เพื่อเปลี่ยนแปลงส่วนประกอบของ GRUB2 ให้สามารถไป Execute Code อันตรายในระหว่างขั้นตอน Boot Loading ได้ โดยเจาะลึกกว่านั้นคือผู้โจมตีสามารถเข้าไปแก้ไขไฟล์คอนฟิคตัวหนึ่งที่ชื่อ grub.cfg เพื่อทำ Buffer Overflow ได้ ตามรูปประกอบด้านบน

นอกจากเรื่อง Boot Loader ในระบบ Linux ที่ได้รับผลกระทบแล้ว BootHole ยังส่งผลกระทบกับเซิร์ฟเวอร์ที่ใช้งาน Secure Boot ด้วย เพราะแม้จะมีการ Signed ตัว Firmware เอาไว้ แต่บางอุปกรณ์หรือการตั้งค่าในแต่ละระบบปฏิบัติการไม่ได้ตรวจสอบไฟล์ grub.cfg หมายความว่าผู้โจมตีก็ยังใช้ช่องโหว่นี้ได้อยู่ดี

อย่างไรก็ดีการใช้งานช่องโหว่นี้ก็จำเป็นต้องมีสิทธิระดับแอดมินที่สามารถเข้าไปแก้ไขไฟล์ grub.cfg ได้ และถึงแม้นว่าจะเหมือนยากแต่เอาเข้าจริงคนร้ายก็อาจใช้ช่องโหว่อื่นๆ เพื่อยกระดับสิทธิ์ก่อนได้

ปัจจุบันผู้เชี่ยวชาญได้แจ้งเตือน Vendor ไปหลายรายแล้ว ซึ่งก็มีแพตช์ทยอยออกมาจาก Microsoft, Oracle, Red Hat, Canonical, SUSE, Debian, Citrix, VMware, HP และ Vendor ด้านซอฟต์แวร์อื่นๆ ออกมา ท่านใดสนใจศึกษาเนื้อหาโดยละเอียดสามารถเข้าไปชมได้ที่เว็บของ Eclypsium 

ที่มา :  https://www.zdnet.com/article/boothole-attack-impacts-windows-and-linux-systems-using-grub2-and-secure-boot/ และ  https://www.securityweek.com/boothole-flaw-allows-installation-stealthy-malware-affects-billions-devices