Onderzoekers van het digitale-veiligheidsbedrijf Eclypsium hebben een kwetsbaarheid ontdekt in het opstartsysteem van bijna alle Linux-versies (onder veel meer Ubuntu). Die geeft een aanvaller de mogelijkheid de Linux-machine over te nemen. Ook Windows-machines zouden last hebben van het lek dat BootHole is gedoopt als daar de Linux-opstarter GRUB2, de ‘boosdoener’, op wordt gezet.
Het lek maakt het mogelijk een virus in het hart van de computer te installeren nog voor het besturingssysteem is opgestart. Dat schijnt in e-krakerskringen een bootkit te worden genoemd, waarbij ‘boot’ staat voor opstarten. Zo’n opstartvirus is veel moeilijker te ontdekken dan een ‘normaal’ virus. Het lek zit in de Linux-opstarter GRUB2 die in vrijwel alle Linux-versies wordt gebruikt.
Wanneer de computer wordt ingeschakeld, laadt de moederbordprogrammatuur, op de meeste nieuwere apparaten UEFI genoemd in oudere computers BIOS, de opstarter, die op zijn beurt het besturingssysteem opstart. UEFI bevat een veilige opstartonderdeel, Secure Boot genaamd, die de integriteit van de opstartercode controleert om ervoor te zorgen dat het een gecertificeerde versie is die veilig is voor de computer. De meeste systemen zijn afhankelijk van een databank met door Microsoft ondertekende certificaten.
GRUB2 laadt zijn gegevens van een apart bestand: grub.cfg. Dat wordt zelf niet gecontroleerd. Het is dus mogelijk een bepaalde code binnen te loodsen. Zelfs met het bijwerken van GRUB2 blijven alle eerdere versies die het beveiligingslek bevatten gecertificeerd en daarom geaccepteerd door systemen. Het volstaat voor een aanvaller daarom om de opstarter te vervangen door een versie die de fout wel bevat.
Deze nieuwe bedreiging is ook van invloed op Windows-machines, zelfs als je GRUB2 niet gebruikt. Het volstaat om GRUB2 bij het opstarten te installeren zonder medeweten van de gebruiker. Het zal worden gevalideerd door UEFI Secure Boot.
Goedkeuring laten vervallen?
Zou het probleem niet opgelost zijn als Microsoft die certificaten intrekt? Niet dus. Om problemen met besturingssystemen te voorkomen bij het wijzigen van GRUB2 hebben veel Linuxleveranciers hun eigen programmatuur toegevoegd die vooraf wordt geladen. Die laag wordt door het Microsoft-certificaat geverifieerd die op zijn beurt weer de integriteit van GRUB2 moet vaststellen. Elke leverancier zou zijn code moeten bijwerken.,
Het goede nieuws is dat het trucje met de opstarter niet is uit te halen via het wereldwijde web. Daarvoor heb je lijfelijk contact met het ‘slachtoffer’ (het rekentuig) nodig. De computer moet daarom al besmet zijn met een ander ongerief dat GRUB2 op je computer heeft gezet en/of grub.cfg heeft bewerkt.
De echte oplossing is afhankelijk van veel spelers. Al die zaken, ook de programmatuur op het moederbord, die veranderd worden moeten dan ook nog eens door Microsoft gecertificeerd worden. Het repareren van de opstarter en vooral van UEFI is ook niet zonder risico. Een enkele fout daarin en je computer blijft zwijgen. Het lijkt hoe dan ook zinnig je antiviruprogramma helemaal bij te houden (of er een kopen als je dat nog niet gedaan hebt), adviseert de scribent in
Bron: Futura-Sciences.