Hacknout Grub2 zvládne každý, stačí 28× stisknout klávesu. Stáhněte opravu

  20:15aktualizováno  26. prosince 16:59
Netradiční způsob útoku si může vyzkoušet každý, kdo umí počítat na prstech. Programátoři zároveň s informacemi o šest let staré chybě vydali i její opravu.

Detail klávesy Backspace | foto: Pavel Kasík - Technet.cz

Zpráva o zero-day chybě linuxového zaváděcího programu (bootloaderu) Grub2 byla celkem překvapivá, protože se týkala velmi staré chyby populárního zavaděče, který je tradiční součástí populárních linuxových distribucí. Programátoři Hector Marco a Ismael Ripoll analýzou zdrojového kódu objevili chybu, která v rozšířeném open-sourcovém programu Grub2 zůstala od roku 2009. Zavaděč GNU Grub spolupracuje i s platformami Windows, OS X nebo Solaris, nejčastěji je ale používán s různými distribucemi operačního systému Linux, jejich je výchozí součástí.

Koho se týká?

Chybu by měl opravit každý, kdo používá jako jedno ze zabezpečení počítače zaheslování zavaděče Grub2. Zranitelnost lze využít i v případě, že uživatel šifruje data na disku. Útočník musí mít pro využití této chyby fyzický přístup k počítači.

Chyba je zneužitelná na systémech, které používají k zabezpečení počítače (i) zaheslování zavaděče systému. Programátoři zároveň ukázali, že je možné použít ji (nepřímo, pomocí speciálního narafičeného malware) i k napadení počítačů, které mají další ochranné prvky, například zašifrovaná data na disku. Útočník však každopádně potřebuje fyzický přístup k napadanému počítači.

„To, že je váš systém napadnutelný, zjistíte tak, že při přihlašování místo jména a hesla 28krát stisknete klávesu Backspace a potvrdíte klávesou Enter,“ píší objevitelé chyby. „Spustíte tím nouzový příkazový řádek Grub2, ze kterého můžete například nainstalovat do počítače malware.“ I v případě, že má uživatel počítače zašifrován osobní adresář, se tak útočník může dostat k citlivým datům.

Chyba funguje na principu využití špatné práce programu s pamětí. Opakovaným stiskem Backspace hacker vnutí počítači hodnotu, která jej donutí přerušit probíhající operaci a dostat se do jakéhosi nouzového příkazového řádku. Nedojde sice k přihlášení jménem správce systému, ale i tak lze situace využít k napadení počítače a posléze (po přihlášení správce) i k nenápadnému získání soukromých dat či dokonce kontroly nad počítačem.

S informací o chybě vydali Marco a Ripoll také její opravu. Na záplatu upozornily i týmy vyvíjející Ubuntu, Red Hat nebo Debian.

Aktualizace: V článku jsme zdůraznili roli zavaděče Grub2 a objasnili, jakým způsobem šlo chybu využít k napadení zašifrované části disku.

Autor:

Mohlo by vás zajímat: Černobyl

Černobylská havárie se stala 26. dubna 1986 v černobylské jaderné elektrárně na Ukrajině (tehdy část Sovětského svazu). Vzpomínka na tragédii v těchto dnech oživila televizní minisérie Černobyl.

Téma Černobyl v článcích Technet.cz:
Brzda místo plynu a plyn místo brzdy. To byl Černobyl
Havárie neskončí před rokem 2065. Černobyl polyká tuny vody a miliardy eur
Výbuch roztavil beton a tisícitunový poklop létal vzduchem. Černobyl 1986

Nejčtenější

Scéna jako z hororu. Na střeše mrakodrapu vrtule rozsekala cestující

Havárie vrtulníku N619PA na střeše budovy PAN AM 16.5. 1977

Části zdeformované vrtule se do ulic New Yorku řítily jako smrtící neřízené projektily. Vrtulník společnosti New York...

Třímachový zabiják letadlových lodí Suchoj T-4 byl velkým žroutem rublů

Suchoj T-4

Historie letectví se pozoruhodnými stroji jenom hemží. Jedním takovým byl i sovětský bombardér Suchoj T-4. Vznikl pouze...

Osudový omyl. První a poslední přistání proudového letadla v Olomouci

MiG-21F trupového čísla 0618 s nímž v Olomouci tragicky havaroval kadet Omran...

Bylo mu 23 let, když se u Přerova učil létat na vysoce výkonném letounu Mig-21F. Podcenil však zadání úkolu a při...

Kilogram má novou definici. Jeho fyzická podoba ztratila 50 mikrogramů

Kopie originálu kilogram z Paříže v americké laboratoři Sandia. Podobné vzory

Od 20. května začala platit nová definice kilogramu. Ta již nebude mít fyzickou podobu, ale bude odvozená od pevné...

Jarní aktualizace Windows 10 je ke stažení. Microsoft se moc nepředvedl

Světlý motiv v jarní verzi Windows 10  2019

Microsoft uvolnil ke stažení velkou jarní aktualizaci Windows 10. Nečekejte však žádné velké změny. Většina se odehrála...

Další z rubriky

Huawei chystá televizor. Bude to první přístroj s připojením přes 5G

Ilustrační snímek

Čínská společnost Huawei vyvíjí vlastní televizní přijímač. Jeho hlavní devizou má být vedle vysokého rozlišení i...

Facebook chce konkurovat Alexe i Siri. Chystá vlastního asistenta

Facebook Portal v bílé

Společnost Facebook údajně pracuje na vývoji vlastního hlasového asistenta, který by se mohl objevit v jejích...

V Británii povolí pornostránky jen plnoletým. Ukážou pas či kreditku

Ilustrační snímek

Británie se stane první zemí na světě, která bude ověřovat věk návštěvníků pornografických internetových stránek....

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Najdete na iDNES.cz