- 19,436
- 40
- 8 Ноя 2022
Secure Boot проверяет подписи. Но не там, где надо — и это катастрофа.
Исследователь из ERNW Александр Мох Для просмотра ссылки Войдиили Зарегистрируйся серьёзную Для просмотра ссылки Войди или Зарегистрируйся в системе загрузки современных Linux-дистрибутивов, включая Ubuntu 25.04 и Fedora 42. Несмотря на полное шифрование дисков, Secure Boot и пароли на загрузчик, локальный злоумышленник может обойти все защитные меры и внедрить персистентное вредоносное ПО.
Проблема кроется в отладочной оболочке, которая автоматически активируется при нескольких ошибках ввода пароля на этапе расшифровки корневого раздела. Через эту оболочку можно получить доступ к initramfs — временной файловой системе, используемой ядром на раннем этапе загрузки. И именно здесь атакующий может внедрить вредоносный код, который выполнится при следующем старте системы.
На Ubuntu 25.04 злоумышленник может вызвать отладочную оболочку initramfs: достаточно прервать графический ввод пароля клавишей ESC, трижды нажать Ctrl+C, подождать 30 секунд, отклонить повторный запрос и затем шесть раз подряд нажать Ctrl+C. Через эту оболочку можно подключить внешний носитель с нужными утилитами и внести изменения в initramfs — без нарушения цифровых подписей Secure Boot, которые проверяют только ядро и модули.
Для просмотра ссылки Войдиили Зарегистрируйся проверяет только ядро и модули, но не initramfs. Это позволяет атакующему распаковать initramfs, добавить вредоносные хуки и запаковать его обратно — всё это без каких-либо предупреждений от системы.
Для реализации атаки нужен лишь физический доступ к компьютеру и USB-накопитель с минимальным набором утилит. Протестированные системы работали с корневыми разделами, зашифрованными по умолчанию, но сценарий воспроизводим и на других дистрибутивах.
Мох предлагает простое решение: изменить параметры загрузки ядра. Для Ubuntu следует добавить <code>panic=0</code>, для Fedora и подобных систем — <code>rd.shell=0 rd.emergency=halt</code>. Это предотвратит активацию отладочной оболочки, останавливая систему при ошибке.
Также рекомендуется установить пароль не только на изменение записей Для просмотра ссылки Войдиили Зарегистрируйся , но и на сам процесс загрузки. Дополнительно можно включить аппаратное шифрование SSD или зашифровать загрузочный раздел с помощью LUKS — меры, редко встречающиеся в типовых гайдах по защите Linux.
Исследователь подчеркивает: несмотря на простоту обхода, Для просмотра ссылки Войдиили Зарегистрируйся остаётся недооценённой. Она не требует сложных инструментов и может использоваться для установки бэкдоров, невидимых большинству защитных решений.
В долгосрочной перспективе разработчики могли бы перейти к монолитной подписанной сборке ядра и initramfs. Это закроет аналогичные векторы атак, но потребует изменений в экосистеме большинства Для просмотра ссылки Войдиили Зарегистрируйся .
Исследователь из ERNW Александр Мох Для просмотра ссылки Войди
Проблема кроется в отладочной оболочке, которая автоматически активируется при нескольких ошибках ввода пароля на этапе расшифровки корневого раздела. Через эту оболочку можно получить доступ к initramfs — временной файловой системе, используемой ядром на раннем этапе загрузки. И именно здесь атакующий может внедрить вредоносный код, который выполнится при следующем старте системы.
На Ubuntu 25.04 злоумышленник может вызвать отладочную оболочку initramfs: достаточно прервать графический ввод пароля клавишей ESC, трижды нажать Ctrl+C, подождать 30 секунд, отклонить повторный запрос и затем шесть раз подряд нажать Ctrl+C. Через эту оболочку можно подключить внешний носитель с нужными утилитами и внести изменения в initramfs — без нарушения цифровых подписей Secure Boot, которые проверяют только ядро и модули.
Для просмотра ссылки Войди
Для реализации атаки нужен лишь физический доступ к компьютеру и USB-накопитель с минимальным набором утилит. Протестированные системы работали с корневыми разделами, зашифрованными по умолчанию, но сценарий воспроизводим и на других дистрибутивах.
Мох предлагает простое решение: изменить параметры загрузки ядра. Для Ubuntu следует добавить <code>panic=0</code>, для Fedora и подобных систем — <code>rd.shell=0 rd.emergency=halt</code>. Это предотвратит активацию отладочной оболочки, останавливая систему при ошибке.
Также рекомендуется установить пароль не только на изменение записей Для просмотра ссылки Войди
Исследователь подчеркивает: несмотря на простоту обхода, Для просмотра ссылки Войди
В долгосрочной перспективе разработчики могли бы перейти к монолитной подписанной сборке ядра и initramfs. Это закроет аналогичные векторы атак, но потребует изменений в экосистеме большинства Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
