حذر الباحثون من أن مليارات الأجهزة من Windows و Linux قد تكون عرضة لهجمات إلكترونية ناتجة عن خطأ في أداة تحميل التمهيد GRUB2. إذ قد يسمح برنامج BootHole الخبيث للمهاجمين السيبرانيين بتحميل البرامج الضارة وسرقة المعلومات والانتقال أفقيا إلى شبكات الشركات و OT و IoT والشبكات المنزلية.

GRUB2 (الذي يرمز إلى GRand Unified Bootloader الإصدار 2) هو محمل التمهيد الافتراضي لغالبية أنظمة الحوسبة. وتتمثل مهمته في إدارة جزء من عملية بدء التشغيل: إما تقديم قائمة وانتظار قرار المستخدم بالدخول، أو نقل التحكم تلقائيا إلى نواة نظام التشغيل.

التمهيد الآمن هو معيار صناعي يضمن تشغيل الجهاز باستخدام البرامج الموثوقة فقط. عند بدء تشغيل الكمبيوتر، يتحقق البرنامج الثابت من تواقيع تشغيل البرامج الثابتة لـ UEFI وتطبيقات EFI ونظام التشغيل. إذا كانت التوقيعات صالحة، يتم تمهيد الكمبيوتر، ومنح البرامج الثابتة التحكم في نظام التشغيل.

 

كيف يعمل البرنامج الخبيث؟

وفقًا لباحثي Eclypsium ، فإن الخطأ الذي تم رصده باسم CVE-2020-10713 يمكن أن يسمح للمهاجمين بالتغلب على هذه الحماية وتنفيذ التعليمات البرمجية التعسفية أثناء عملية التمهيد، حتى عند تمكين التمهيد الآمن وإجراء التحقق من التوقيع بشكل صحيح.

يُطلق على هذا البرنامج الخبيث اسم BootHole نظرا لأنه يفتح فجوة في عملية التمهيد، حيث يمثل الخطأ الجديد ثغرة تجاوز سعة المخزن المؤقت بالطريقة التي يوزع بها GRUB2 المحتوى من ملف التكوين GRUB2 (grub.cfg)، وفقا لـ Eclypsium.

وكتب الباحثون في تحليل الشركة أن ملف التكوين GRUB2 هو ملف نصي وعادة ما لا يتم توقيعه مثل الملفات التنفيذية الأخرى. ونتيجة لذلك، لا يتحقق التمهيد الآمن من ذلك. وبالتالي، يمكن للمهاجم تعديل محتويات ملف تكوين GRUB2 لتضمين رمز الهجوم. وبما أنه يتم تحميل هذا الملف قبل بدء نظام التشغيل، سيقوم رمز الهجوم بالعمل أولا. وبهذه الطريقة، يكتسب المهاجمون الثبات على الجهاز.

 

مليارات الأجهزة في خطر

بمجرد الدخول، يتمتع المهاجمون بسيطرة شبه كاملة على الجهاز المستهدف. وبحسب التحليل، يجب على المنظمات مراقبة أنظمتها بحثا عن التهديدات وبرامج الفدية التي تستخدم برامج تحميل التمهيد الضعيفة لإصابة الأنظمة أو إتلافها.

هذا ويؤكد الباحثون أن الثغرة موجودة في محمل الإقلاع GRUB2 المستخدم من قبل معظم أنظمة لينكس. كما تمتد المشكلة أيضا إلى أي جهاز يعمل بنظام Windows يستخدم التمهيد الآمن مع المرجع المصدق القياسي لجهات خارجية من Microsoft.

وبما أن غالبية أجهزة الكمبيوتر (أجهزة الكمبيوتر المحمولة ، وأجهزة الكمبيوتر المكتبية ، والخوادم ومحطات العمل) ضعيفة ، وأن الضعف يؤثر أيضا على الأجهزة الأخرى المرتبطة بالشبكة، ومعدات الملكية الخاصة، والأموال وغيرها من القطاعات، وأجهزة إنترنت الأشياء (IoT)، وتكنولوجيا التشغيل (OT) ومعدات SCADA في البيئات الصناعية.

بشكل عام، مليارات الأجهزة عرضة للإصابة. والأسوأ من ذلك، لا يمكن لأي تصحيح بسيط أو تحديث للبرنامج الثابت إصلاح المشكلة.