Microsoft использует искусственный интеллект для поиска уязвимостей в загрузчиках GRUB2, U-Boot и Barebox

Microsoft с помощью своего ИИ Security Copilot обнаружила 20 ранее неизвестных уязвимостей в загрузчиках GRUB2, U-Boot и Barebox с открытым исходным кодом.

GRUB2 (GRand Unified Bootloader) является загрузчиком по умолчанию для большинства дистрибутивов Linux, включая Ubuntu, а U-Boot и Barebox широко используются во встраиваемых и IoT-устройствах.

Microsoft обнаружила 11 уязвимостей в GRUB2, включая целочисленные переполнения и переполнения буфера в парсерах файловой системы, недостатки команд и побочный канал в криптографическом сравнении.

Интересно: GPT или MBR что лучше для вашего Linux?

Кроме того, в U-Boot и Barebox было обнаружено 9 переполнений буфера при разборе SquashFS, EXT4, CramFS, JFFS2 и симлинков, для устранения которых требуется физический доступ.

Обнаруженные недостатки влияют на устройства, использующие UEFI Secure Boot, и при соблюдении необходимых условий злоумышленники могут обойти защиту и выполнить произвольный код на устройстве.

Хотя для эксплуатации этих недостатков, скорее всего, потребуется локальный доступ к устройствам, предыдущие атаки буткитов, такие как BlackLotus, достигали этого с помощью заражения вредоносным ПО.

«В то время как для использования уязвимостей U-boot или Barebox злоумышленникам, скорее всего, потребуется физический доступ к устройству, в случае с GRUB2 уязвимости могут быть использованы для обхода Secure Boot и установки скрытых буткитов, а также для обхода других механизмов безопасности, таких как BitLocker»
- поясняет Microsoft

«Последствия установки таких буткитов весьма опасны, поскольку это может предоставить субъектам угроз полный контроль над устройством, позволяя им управлять процессом загрузки и операционной системой, компрометировать дополнительные устройства в сети и осуществлять другие вредоносные действия».

Интересно: Как взломать собственную систему Linux?

«Более того, это может привести к появлению стойкого вредоносного ПО, которое остается нетронутым даже после переустановки операционной системы или замены жесткого диска».

Ниже приводится краткое описание недостатков, обнаруженных Microsoft в GRUB2:

• CVE-2024-56737 – Переполнение буфера при монтировании файловой системы HFS из-за небезопасной функции strcpy для строки без нулевого окончания
• CVE-2024-56738 – Атака по боковому каналу в функции криптографического сравнения (grub_crypto_memcmp не работает в постоянном времени)
• CVE-2025-0677 – Целочисленное переполнение при обработке символических ссылок UFS приводит к переполнению буфера
• CVE-2025-0678 – Целочисленное переполнение при чтении файлов Squash4 приводит к переполнению буфера
• CVE-2025-0684 – Целочисленное переполнение при обработке символьных ссылок в ReiserFS приводит к переполнению буфера
• CVE-2025-0685 – Целочисленное переполнение при работе с символическими ссылками JFS приводит к переполнению буфера
• CVE-2025-0686 – Целочисленное переполнение при работе с символьными ссылками в RomFS приводит к переполнению буфера
• CVE-2025-0689 – Запредельное чтение при обработке блока UDF
• CVE-2025-0690 – Переполнение знакового целого и запрещенная запись в команде read (обработчик ввода с клавиатуры)
• CVE-2025-1118 – команда dump позволяет произвольное чтение памяти (должно быть отключено в производстве)
• CVE-2025-1125 – Целочисленное переполнение при открытии сжатого файла HFS приводит к переполнению буфера

Все перечисленные недостатки имеют среднюю степень серьезности, за исключением CVE-2025-0678, который оценивается как «высокий» (CVSS v3.1 score: 7.8).

По словам Microsoft, Security Copilot значительно ускорил процесс обнаружения уязвимостей в большой и сложной кодовой базе, такой как GRUB2, сэкономив примерно 1 неделю времени, которое потребовалось бы для ручного анализа.

Инструмент искусственного интеллекта не только выявлял ранее не обнаруженные недостатки, но и давал целевые рекомендации по их устранению, которые могут служить указателями и ускорять выпуск исправлений безопасности, особенно в проектах с открытым исходным кодом, поддерживаемых добровольными участниками и небольшими основными командами.

Используя результаты анализа, Microsoft утверждает, что Security Copilot обнаружил аналогичные ошибки в проектах, использующих общий код с GRUB2, таких как U-boot и Barebox.

GRUB2, U-boot и Barebox выпустили обновления безопасности для устранения уязвимостей в феврале 2025 года.