Security Week 2515: уязвимости в загрузчике GRUB2

На прошлой неделе компания Microsoft отчиталась ^[1] об обнаружении 11 уязвимостей в загрузчике GRUB2 с открытым исходным кодом. Мотивацией ^[2] для Microsoft проанализировать опенсорсный проект была потенциально высокая опасность уязвимостей в GRUB: их эксплуатация может привести к компрометации операционной системы и открыть для потенциального атакующего полный доступ к пользовательским данным. Отдельным интересным моментом данного исследовательского проекта стало использование искусственного интеллекта ^[3], версии Microsoft Copilot, специально разработанной для устранения прорех в безопасности.

В Microsoft прямо говорят, что использования Security Copilot самого по себе недостаточно для эффективного обнаружения уязвимостей, сервис лишь способен ускорить процесс поиска проблем в исходном коде. Помимо ИИ, в проекте также были задействованы традиционные инструменты, такие как статический анализ кода, фаззинг и ручной анализ. Тем не менее была показана эффективность языковой модели для обнаружения потенциально опасных участков кода, которые затем можно проверить и вручную.

Один из фрагментов диалога с ИИ показан на скриншоте выше. Copilot нацелили на поиск ошибок в коде, которые реально могут быть эксплуатированы, например — в модулях, ответственных за работу с сетью, файловыми системами и за криптографию. Использование ИИ для анализа функций, предназначенных для подключения файловых систем, выявило пять «кандидатов в уязвимости». Из них три оказались ложноположительными. Последующий анализ еще одной выявил, что ошибку ^[4] невозможно эксплуатировать. Только одна проблема из пяти была квалифицирована как серьезная уязвимость.

Впрочем, успешным оказалось дальнейшее использование Copilot для поиска уязвимостей, похожих на обнаруженную ранее и подтвержденную вручную проблему. Результатом стал список из однотипных уязвимостей в коде, отвечающих за работу с различными файловыми системами: UFS, Squash4, ReiserFS, JFS, RomFS, UDF и HFS. Детально в публикации разобран пример с ошибкой в обработчике для системы JFS. Если исходить из того, что параметры файловой системы контролируются потенциальным атакующим, уязвимость в коде приводит к переполнению буфера и выполнению произвольного кода. Отдельно в отчете говорится о том, что в ряде случаев разработчики GRUB2 применили дополнительные проверки, исключающие опасную ситуацию. Но такие методы защиты были реализованы далеко не везде, где это необходимо.

Помимо уязвимостей в обработчиках файловых систем, проблемы также были обнаружены в криптографическом модуле, а также в коде встроенных в GRUB2 команд, отвечающих за чтение данных и вывод содержимого оперативной памяти ^[5]. Поиск «похожих проблем» также позволил выявить четыре новые уязвимости в загрузчике U-Boot и пять — в загрузчике Barebox. В GRUB2 все уязвимости были закрыты в феврале этого года. Максимальный рейтинг по шкале CVSS имеет уязвимость в коде, ответственном за работу с файловой системой Squash4, — 7,8 балла из 10.

Что еще произошло

Эксперты «Лаборатории Касперского» сообщают ^[6] об обнаружении новой версии трояна Triada. Эта троянская программа известна достаточно давно и часто обнаруживается «установленной с завода» в различных китайских смартфонах сомнительных брендов. Обновленный троян, в частности, был найден в смартфонах — подделках под популярные модели известных производителей.

В других публикациях исследователей «Лаборатории Касперского» подробно разбирается ^[7] вредоносный загрузчик TookPS, недавно отметившийся ^[8] распространением под видом клиента для ИИ-сервиса DeepSeek. Как выяснилось, эта вредоносная программа также успешно распространяется под видом пиратских версий популярного программного обеспечения, включая AutoCAD и SketchUp. Еще одно исследование ^[9] описывает работу вредоносного ПО, используемого APT-группировкой ToddyCat. В нем, в частности, используется уязвимая утилита из комплекта поставки антивирусного ПО ESET.

Разработчики корпоративных сетевых решений Ivanti закрыли ^[10] эксплуатируемую уязвимость в VPN-сервере Connect Secure. Одна из множества уязвимостей в этом ПО, обнаруженных за последнее время, имеет свою уникальную особенность. Связанная с ней ошибка в коде, приводящая к переполнению буфера, была закрыта еще в феврале, и тогда ее оценили как непригодную к эксплуатации во вредоносных целях. Позднее же было обнаружено, что это не так. В результате в ряде решений на общей кодовой базе проблема оказалась своевременно непропатченной, а клиентов не уведомили о необходимости срочно установить обновление.

Критическая уязвимость с рейтингом CVSS 9,4 балла из 10 была обнаружена ^[11] и закрыта в драйверах для принтеров компании Canon.

Уязвимость в архиваторе WinRAR позволяет ^[12] обойти так называемую метку Mark-of-the-Web, ограничивающую запуск программ, загруженных из Сети.