Исследователи в области кибербезопасности подробно описали критическую уязвимость, которая подрывает безопасность многих зашифрованных ноутбуков с ОС Linux, позволяя осуществлять атаки "злых горничных". Отчет компании Ernw демонстрирует, что даже если системы защищены такими известными средствами защиты, как Secure Boot и защищенный паролем загрузчик, существенная оплошность позволяет полностью скомпрометировать систему.
Вектор атаки лежит в файловой системе Initial RAM Filesystem (initramfs), временной системе, которая запускается во время загрузки для подготовки основной операционной системы. Намеренно введя несколько раз неправильный пароль для расшифровки диска, злоумышленник может заставить систему перейти в мощную низкоуровневую отладочную оболочку.
Из этой оболочки можно использовать ядро уязвимости. Поскольку сам initramfs не имеет криптографической подписи - она есть только у ядра и его модулей, - злоумышленник может распаковать его, внедрить вредоносные скрипты и переупаковать, не выдав никаких предупреждений о безопасности. В следующий раз, когда владелец загрузит ноутбук и успешно введет свой пароль, скрытая вредоносная программа запустится с наивысшим уровнем привилегий, способная украсть ключ расшифровки, регистрировать нажатия клавиш или перехватить данные.
Исследователи отмечают, что это не столько ошибка, сколько недоработка разработчиков, направленная на восстановление системы, а не на физическую безопасность. Очень важно, что этот вектор атаки часто не учитывается стандартными руководствами по укреплению и контрольными показателями безопасности.
К счастью, решение проблемы простое. Обеспокоенные пользователи и системные администраторы могут изменить параметры ядра своей системы так, чтобы компьютер останавливался или перезагружался, а не открывал отладочную оболочку после неудачных попыток ввода пароля. Отчет служит суровым напоминанием о том, что даже надежные цепи безопасности могут быть разрушены одним слабым звеном.