Rincian tentang kerentanan baru dalam komponen inti dari proses Secure Boot telah dipublikasikan baru-baru ini. Kerentanan ini, yang dijuluki BootHole, memungkinkan penyerang untuk merusak proses boot-loading.
Proses ini bergantung pada komponen yang dikenal sebagai bootloader, sebuah komponen yang bertanggung jawab untuk memuat firmware dari semua komponen perangkat keras komputer tempat OS berjalan.
Kerentanan ini berada dalam GRUB2, salah satu komponen bootloader paling populer saat ini. Saat ini, GRUB2 digunakan sebagai bootloader utama di hampir semua distro Linux, yang juga digunakan untuk sistem berbasis Windows, macOS, dan BSD.
Bagaimana BootHole Bekerja
Kerentanan BootHole ditemukan awal tahun ini oleh peneliti keamanan dari Eclypsium. Rincian teknis lengkap tentang kerentanan sudah dipublikasikan baru-baru ini di blog Eclypsium.
Para peneliti mengatakan BootHole memungkinkan penyerang merusak komponen GRUB2 untuk menyisipkan dan mengeksekusi kode berbahaya selama proses boot-loading, yang secara efektif memungkinkan penyerang menanam kode yang memiliki kendali penuh atas OS, diluncurkan pada titik selanjutnya.
Malware jenis ini biasanya dikenal sebagai bootkit karena ia hidup di dalam bootloader, dalam memori fisik motherboard, di lokasi terpisah dari OS, yang memungkinkannya untuk tetap ada meskipun OS di-install ulang.
Gambar di bawah ini menunjukkan penjelasan sederhana dari BootHole:
Eclypsium mengatakan BootHole dapat disalahgunakan untuk merusak bootloader, atau bahkan menggantinya dengan versi berbahaya.
Lebih parahnya lagi, Eclypsium mengatakan bahwa BootHole juga berfungsi bahkan ketika server atau workstation telah mengaktifkan Secure Boot.
Secure Boot adalah proses di mana server/komputer menggunakan pemeriksaan kriptografi untuk memastikan proses boot hanya memuat komponen firmware yang ditandatangani secara kriptografis.
BootHole bekerja bahkan dengan Secure Boot yang aktif karena untuk beberapa perangkat atau pengaturan OS, proses Secure Boot tidak secara kriptografis memverifikasi file grub.cfg.
Eclypsium mengatakan bahwa penyerang memerlukan akses admin untuk mengutak-atik file grub.cfg. Ini terlihat seperti batasan, tetapi pada kenyataannya tidak. Sistem operasi dan komponennya dipenuhi dengan bug “elevation of privilege“, yang dapat dieksploitasi sebagai bagian dari rantai serangan BootHole untuk membiarkan malware mendapatkan akses admin dan memodifikasi grub.cfg.
Baca Juga: “Kerentanan Kritis Yang Sudah Ada Selama 17 Tahun Ditemukan Dalam Windows DNS Server“
Perbaikan Kerentanan
Selama beberapa bulan terakhir, Eclypsium mengatakan telah memberitahukan seluruh pihak penyedia perangkat keras dan perangkat lunak tentang BootHole (CVE-2020-10713).
Eclypsium memperkirakan bahwa setiap distribusi Linux terpengaruh oleh kerentanan ini, karena semua menggunakan bootloader GRUB2 yang membaca perintah dari file grub.cfg eksternal.
“Hingga saat ini, lebih dari 80 shims diketahui terpengaruh,” kata Eclypsium. Shims adalah komponen yang memungkinkan kode firmware khusus vendor/OEM untuk berinteraksi dengan GRUB2.
“Selain sistem Linux, sistem apa pun yang menggunakan Secure Boot dengan standar Microsoft UEFI CA rentan terhadap masalah ini,” tim peneliti menambahkan, berbicara tentang kemungkinan dampak GRUB2 pada sistem operasi lain yang menggunakan GRUB2 dalam proses Secure Boot.
“Sebagai hasilnya, kami percaya bahwa mayoritas sistem modern yang digunakan saat ini, termasuk server dan workstation, laptop dan desktop, dan sejumlah besar sistem OT dan IoT berbasis Linux, berpotensi terpengaruh oleh kerentanan ini.”
Eclypsium mengatakan mereka memperkirakan perbaikan kerentanan akan memakan waktu lama, karena memperbaiki kerentanan bootloader biasanya merupakan proses yang kompleks karena banyaknya komponen dan kriptografi tingkat lanjut yang terlibat dalam proses tersebut.
