Specjaliści ds. cyberbezpieczeństwa zidentyfikowali poważną lukę w zabezpieczeniach, która dotyczy jedenastu starszych wersji modułów typu shim, oficjalnie podpisanych przez Microsoft. Te niewielkie komponenty oprogramowania pełnią kluczową rolę w procesie uruchamiania systemów operacyjnych Linux na komputerach wyposażonych w mechanizm Secure Boot. Wykorzystanie podatności pozwala atakującym na obejście zabezpieczeń rozruchowych, co w praktyce otwiera drogę do uruchomienia nieautoryzowanego kodu na poziomie systemu operacyjnego.
Problem wynika z faktu, że wspomniane moduły, mimo że posiadają cyfrowe podpisy Microsoftu, zawierają znane luki bezpieczeństwa, które zostały odkryte już jakiś czas temu. Choć producenci dystrybucji Linuxa sukcesywnie aktualizują swoje oprogramowanie, starsze wersje plików shim wciąż znajdują się w obiegu, co stwarza realne ryzyko dla użytkowników korzystających z nieaktualnych nośników instalacyjnych lub systemów, które nie przeszły pełnej procedury aktualizacji.
Mechanizm ataku i zagrożenia
Mechanizm Secure Boot został zaprojektowany tak, aby zapewnić, że podczas uruchamiania komputera ładowane jest wyłącznie oprogramowanie zaufane, posiadające odpowiednie certyfikaty. Wykorzystanie podatnych modułów shim pozwala na tzw. atak typu BlackLotus lub inne formy obejścia weryfikacji podpisu cyfrowego. Atakujący, który uzyska dostęp do systemu na wczesnym etapie rozruchu, może ominąć zabezpieczenia, co pozwala na instalację rootkitów lub innego złośliwego oprogramowania, które jest niezwykle trudne do wykrycia i usunięcia, ponieważ działa przed załadowaniem systemu operacyjnego.
Warto zaznaczyć, że skala zagrożenia jest istotna, ponieważ dotyczy szerokiego spektrum dystrybucji Linuxa, które korzystały z tych konkretnych, podpisanych przez Microsoft modułów. Chociaż w świecie technologii często mówi się o kosztach związanych z usuwaniem skutków ataków, w tym przypadku głównym wyzwaniem jest logistyka aktualizacji. Warto wspomnieć, że w kontekście rynkowym, narzędzia służące do profesjonalnego testowania penetracyjnego, które mogą symulować tego typu ataki, kosztują często tysiące dolarów (nawet powyżej 20 000 złotych), co pokazuje, jak poważnie traktowane są luki w mechanizmach rozruchowych.
Jak chronić swój system?
Aby zminimalizować ryzyko, kluczowe jest podjęcie działań naprawczych, które polegają przede wszystkim na aktualizacji oprogramowania. Użytkownicy powinni upewnić się, że ich dystrybucja Linuxa korzysta z najnowszych wersji modułów shim, które zostały pozbawione znanych podatności.
Eksperci podkreślają, że choć proces aktualizacji modułów shim może wydawać się skomplikowany, jest on niezbędny dla zachowania integralności systemu. W sytuacjach, gdy aktualizacja nie jest możliwa, jedynym skutecznym rozwiązaniem pozostaje wycofanie zaufania dla podatnych certyfikatów w ustawieniach UEFI, co jednak wymaga zaawansowanej wiedzy technicznej i może prowadzić do problemów z uruchamianiem systemu, jeśli nie zostanie przeprowadzone prawidłowo.

