VU#616257: Загрузчики UEFI, по... Заметка

VU#616257: Загрузчики UEFI, подписанные Microsoft, уязвимы к обходу безопасной загрузки

Microsoft отзывает доверие к старым версиям загрузчика с открытым исходным кодом shim из-за уязвимости обхода Secure Boot. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на ранних этапах загрузки, обходя меры безопасности. Затронутые загрузчики shim, в основном версии 0.9 и более ранние, будут добавлены в базу данных запрещенных подписей UEFI Microsoft (DBX). После обновления DBX эти загрузчики не будут разрешены к запуску.Проект shim облегчает Secure Boot для дистрибутивов Linux, выступая в качестве моста между прошивкой и операционной системой. Однако поставщики, которые форкнули старые, уязвимые версии без обновления, создали постоянный риск в цепочке поставок. Исследователи выявили конкретные уязвимые загрузчики shim от различных поставщиков, включая Red Hat, baramundi и Oracle.Эксплуатация этого недостатка позволяет злоумышленникам с привилегиями модификации загрузки получить постоянный контроль, потенциально загружая неподписанные компоненты ядра, которые переживают перезагрузки. Эти вредоносные компоненты могут обойти средства безопасности операционной системы и решения для обнаружения конечных точек. Для смягчения этой проблемы пользователи должны применять последние обновления программного обеспечения и загрузчика от поставщиков.Кроме того, крайне важно применить обновление DBX от Microsoft для блокировки уязвимых загрузчиков. Предприятия и разработчики должны тщательно протестировать эти обновления перед их широким развертыванием. Рекомендуется обновить авторизованную базу данных подписей (DB) перед применением отзывов DBX. Доступны инструменты для аудита и проверки обновлений DBX, а также для идентификации отозванных компонентов загрузки.