Microsoft menggunakan kopilot keamanan bertenaga AI untuk menemukan 20 kerentanan yang sebelumnya tidak diketahui di bootloader open-source Grub2, U-Boot, dan Barebox.
Grub2 (Grand Unified Bootloader) adalah boot loader default untuk sebagian besar distribusi Linux, termasuk Ubuntu, sedangkan U-Boot dan Barebox biasanya digunakan dalam perangkat tertanam dan IoT.
Microsoft menemukan sebelas kerentanan di Grub2, termasuk integer dan buffer meluap dalam parser sistem file, kelemahan perintah, dan saluran samping dalam perbandingan kriptografi.
Selain itu, 9 buffer meluap dalam penguraian squashfs, ext4, cramfs, jffs2, dan symlink ditemukan di U-boot dan barebox, yang membutuhkan akses fisik untuk dieksploitasi.
Perangkat dampak cacat yang baru ditemukan yang mengandalkan boot aman UEFI, dan jika kondisi yang tepat dipenuhi, penyerang dapat melewati perlindungan keamanan untuk menjalankan kode sewenang -wenang pada perangkat.
Saat mengeksploitasi kelemahan ini kemungkinan akan membutuhkan akses lokal ke perangkat, serangan bootkit sebelumnya seperti Blacklotus mencapai ini melalui infeksi malware.
“Sementara aktor ancaman kemungkinan akan membutuhkan akses perangkat fisik untuk mengeksploitasi kerentanan U-boot atau barebox, dalam hal Grub2, kerentanan selanjutnya dapat dieksploitasi untuk memotong boot aman dan menginstal bootkit siluman atau berpotensi mem-bypass mekanisme keamanan lainnya, seperti Bitlocker,” menjelaskan Microsoft.
“Implikasi pemasangan bootkit semacam itu adalah signifikan, karena ini dapat memberikan para aktor ancaman kontrol penuh atas perangkat, memungkinkan mereka untuk mengontrol proses boot dan sistem operasi, mengkompromikan perangkat tambahan di jaringan, dan mengejar aktivitas berbahaya lainnya.”
“Selain itu, ini dapat mengakibatkan malware persisten yang tetap utuh bahkan setelah pemasangan kembali sistem operasi atau penggantian hard drive.”
Di bawah ini adalah ringkasan dari cacat Microsoft yang ditemukan di Grub2:
- CVE-2024-56737 -Buffer overflow dalam pemasangan sistem file HFS karena STRCPY yang tidak aman pada string yang tidak diakhiri non-null
- CVE-2024-56738 -Serangan saluran samping dalam fungsi perbandingan kriptografi (grub_crypto_memcmp bukan waktu konstan)
- CVE-2025-0677 – Integer overflow di UFS penanganan tautan simbolik mengarah ke buffer overflow
- CVE-2025-0678 – Integer overflow dalam pembacaan file squash4 mengarah ke buffer overflow
- CVE-2025-0684 – Integer overflow di reiserfs penanganan tautan simbolik mengarah ke buffer overflow
- CVE-2025-0685 – Integer overflow dalam penanganan tautan simbolik JFS mengarah ke buffer overflow
- CVE-2025-0686 – Integer overflow dalam romfs penanganan tautan simbolik mengarah ke buffer overflow
- CVE-2025-0689 -Bacaan di luar batas dalam pemrosesan blok UDF
- CVE-2025-0690 -Menandatangani Integer Overflow dan Out-On-Bounds Menulis dalam Perintah Baca (Penangan Input Keyboard)
- CVE-2025-1118 – Perintah dump memungkinkan memori sewenang -wenang (harus dinonaktifkan dalam produksi)
- CVE-2025-1125 – Integer overflow dalam file terkompresi HFS Terbuka menyebabkan buffer overflow
Semua kekurangan di atas dinilai tingkat keparahan sedang, kecuali untuk CVE-2025-0678, yang dinilai “tinggi” (skor CVSS v3.1: 7.8).
Microsoft mengatakan keamanan kopilot secara dramatis mempercepat proses penemuan kerentanan dalam basis kode yang besar dan kompleks, seperti Grub2, menghemat sekitar 1 minggu waktu yang akan diperlukan untuk analisis manual.
Sumber: Microsoft
Tidak hanya alat AI mengidentifikasi kekurangan yang sebelumnya belum ditemukan, tetapi juga memberikan rekomendasi mitigasi yang ditargetkan yang dapat memberikan petunjuk dan mempercepat penerbitan tambalan keamanan, terutama dalam proyek open-source yang didukung oleh kontributor sukarelawan dan tim inti kecil.
Menggunakan temuan dalam analisis, Microsoft mengatakan Security Copilot menemukan bug serupa dalam proyek yang menggunakan kode bersama dengan Grub2, seperti U-Boot dan Barebox.
Grub2, u-boot, dan barebox dirilis pembaruan keamanan Untuk kerentanan pada bulan Februari 2025, jadi memperbarui versi terbaru harus mengurangi kekurangan.
