Microsoft heeft zijn AI-aangestuurde Security Copilot gebruikt om 20 voorheen onbekende kwetsbaarheden te ontdekken in de open-source bootloaders GRUB2, U-Boot en Barebox.

GRUB2 (GRand Unified Bootloader) is de standaard bootloader voor de meeste Linux-distributies, waaronder Ubuntu, terwijl U-Boot en Barebox vaak worden gebruikt in ingebedde en IoT-apparaten.

Microsoft ontdekte elf kwetsbaarheden in GRUB2, waaronder integer- en bufferoverflows in bestandssysteemparsers, opdrachtfouten en een side-channel in cryptografische vergelijking.

Daarnaast werden er 9 bufferoverflows in het parsen van SquashFS, EXT4, CramFS, JFFS2 en symlinks ontdekt in U-Boot en Barebox, die fysieke toegang vereisen om te misbruiken.

De nieuw ontdekte gebreken zijn van invloed op apparaten die afhankelijk zijn van UEFI Secure Boot. Als aan de juiste voorwaarden wordt voldaan, kunnen aanvallers beveiligingsbeschermingen omzeilen om willekeurige code op het apparaat uit te voeren.

Hoewel het misbruiken van deze fouten waarschijnlijk lokale toegang tot apparaten zou vereisen, hebben eerdere bootkit-aanvallen zoals BlackLotus dit bereikt via malware-infecties.

"Hoewel bedreigingsactoren waarschijnlijk fysieke toegang tot apparaten zouden moeten hebben om de U-Boot- of Barebox-kwetsbaarheden te exploiteren, kunnen in het geval van GRUB2 de kwetsbaarheden verder worden misbruikt om Secure Boot te omzeilen en stiekeme bootkits te installeren of mogelijk andere beveiligingsmechanismen te omzeilen, zoals BitLocker," legt Microsoft uit.

"De implicaties van het installeren van dergelijke bootkits zijn aanzienlijk, aangezien dit bedreigingsactoren volledige controle over het apparaat kan geven, waardoor ze het opstartproces en het besturingssysteem kunnen controleren, extra apparaten in het netwerk kunnen compromitteren en andere kwaadaardige activiteiten kunnen nastreven."

"Bovendien kan het resulteren in persistente malware die intact blijft, zelfs na een herinstallatie van het besturingssysteem of een vervanging van de harde schijf."

Hieronder volgt een samenvatting van de gebreken die Microsoft in GRUB2 heeft ontdekt:

• CVE-2024-56737 – Bufferoverflow bij het aankoppelen van HFS-bestandssystemen door onveilige strcpy op een niet-null-beëindigde string
• CVE-2024-56738 – Side-channel aanval in cryptografische vergelijkingsfunctie (grub_crypto_memcmp niet constant-time)
• CVE-2025-0677 – Integer overflow in UFS-symbolische linkafhandeling leidt tot bufferoverflow
• CVE-2025-0678 – Integer overflow in Squash4-bestandslezen leidt tot bufferoverflow
• CVE-2025-0684 – Integer overflow in ReiserFS-symbolische linkafhandeling leidt tot bufferoverflow
• CVE-2025-0685 – Integer overflow in JFS-symbolische linkafhandeling leidt tot bufferoverflow
• CVE-2025-0686 – Integer overflow in RomFS-symbolische linkafhandeling leidt tot bufferoverflow
• CVE-2025-0689 – Out-of-bounds lezen in UDF-blokverwerking
• CVE-2025-0690 – Ondertekende integer overflow en out-of-bounds schrijven in leesopdracht (toetsenbordinvoerhandler)
• CVE-2025-1118 – Dump-opdracht staat willekeurig geheugenlezen toe (moet in productie worden uitgeschakeld)
• CVE-2025-1125 – Integer overflow in HFS-gecomprimeerd bestand openen veroorzaakt bufferoverflow

Al deze gebreken zijn geclassificeerd met een gemiddelde ernst, behalve CVE-2025-0678, dat als "hoog" is beoordeeld (CVSS v3.1 score: 7.8).

Microsoft zegt dat Security Copilot het proces van het ontdekken van kwetsbaarheden in een grote en complexe codebase, zoals GRUB2, aanzienlijk heeft versneld, waardoor er ongeveer een week tijd werd bespaard die nodig zou zijn voor handmatige analyse.

De AI-tool identificeerde niet alleen de voorheen onontdekte gebreken, maar gaf ook gerichte aanbevelingen voor mitigatie die aanwijzingen konden geven en het uitgeven van beveiligingspatches konden versnellen, vooral in open-sourceprojecten die worden ondersteund door vrijwillige bijdragers en kleine kernteams.

Op basis van de bevindingen in de analyse zegt Microsoft dat Security Copilot soortgelijke bugs heeft gevonden in projecten die gedeelde code met GRUB2 gebruiken, zoals U-Boot en Barebox.

GRUB2, U-Boot en Barebox hebben beveiligingsupdates uitgebracht voor de kwetsbaarheden in februari 2025, dus updaten naar de nieuwste versies zou de gebreken moeten verhelpen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----