Het Ontdekken van 20 Fouten in Open Source Bootloaders Benadrukt Systemische Risico’s voor Secure Boot en IoT-apparaten
Microsoft heeft het resultaat aangekondigd van het ontdekken van 20 kritieke kwetsbaarheden in drie van de meest gebruikte bootloaders binnen het ecosysteem van open source software: GRUB2, U-Boot en Barebox. Deze ontdekking is mogelijk gemaakt door het gebruik van Security Copilot, hun AI-platform dat is ontworpen om de detectie van complexe kwetsbaarheden binnen uitgebreide codebases te versnellen.
GRUB2 — de standaard bootloader in de meeste moderne Linux-distributies — is het zwaarst getroffen, met 11 kwetsbaarheden waaronder bufferoverflows, integerfouten en side-channel aanvallen in cryptografische functies. U-Boot en Barebox, die veel worden gebruikt in embedded systemen en IoT-apparaten, hebben samen 9 extra fouten, ook gerelateerd aan problemen met bestandssystemen en symlinkbeheer.
Belangrijkste Kwetsbaarheden
Onder de meest opvallende kwetsbaarheden bevinden zich:
- CVE-2025-0678: Buffer overflow in SquashFS veroorzaakt door een integer overflow.
- CVE-2024-56738: Side-channel kwetsbaarheid door niet-constante cryptografische vergelijkingen.
- CVE-2025-1125: Buffer overflow bij het openen van gecomprimeerde bestanden in HFS.
- CVE-2025-0690: Integer overflow in toetsenbord leescommando’s.
- CVE-2025-26721 tot CVE-2025-26729: Diverse fouten in U-Boot en Barebox met betrekking tot het beheer van EXT4, CramFS, JFFS2 en EroFS.
Hoewel veel van deze kwetsbaarheden fysieke toegang tot het apparaat vereisen, kunnen sommige — met name die van GRUB2 — worden uitgebuit om Secure Boot te omzeilen, wat de installatie van persistente bootkits en low-level malware met volledige privileges mogelijk maakt, zelfs na herinstallaties van het besturingssysteem. Dit vertegenwoordigt een systemisch risico in omgevingen waar opstartbeveiliging kritiek is, zoals servers, datacenters, industriële infrastructuren of verbonden apparaten.
Een AI voor Bugjagers
De ontdekking van deze fouten is niet gedaan door traditionele methoden. Microsoft maakte gebruik van Security Copilot, hun AI-co-piloot die specifiek is getraind voor offensieve en defensieve beveiligingstaken, om op een geautomatiseerde manier gevoelige delen van de broncode van GRUB2 te analyseren. De AI identificeerde functies die vatbaar zijn voor fouten (zoals parsers van bestandssystemen of cryptografische functies) en suggereerde in elk geval ingangen en mitigaties.
Dit geautomatiseerde proces verkortte de gebruikelijke tijd die nodig is voor dergelijke audits met één week, zoals door het bedrijf zelf is gerapporteerd.
Gecoördineerde Reactie van de Open Source Gemeenschap
Na de identificatie werkte Microsoft direct samen met de beheerders van de betrokken projecten om een verantwoordelijke bekendmaking te realiseren. Beveiligingsupdates zijn inmiddels gepubliceerd door de teams van GRUB2 (18 februari 2025) en U-Boot en Barebox (19 februari 2025). In het geval van GRUB2 zijn er updates aangebracht in de SBAT (Secure Boot Advanced Targeting) en DBX om het beheer van het intrekken van gecompromitteerde componenten te versterken.
Bovendien zijn potentieel gevaarlijke modules gedeactiveerd wanneer Secure Boot is ingeschakeld, en zijn cryptografische en geheugencorrecties in de logica van de bootloader versterkt.
Een Keerpunt in de Opstartbeveiliging?
Het rapport van Microsoft benadrukt een dieper liggend probleem: de recycling van kwetsbare code tussen verschillende open source bootloaders, een praktijk die het risico op wereldwijde schaal zou kunnen vergroten. Het gebrek aan moderne beveiligingsfuncties in deze componenten — zoals ASLR, stack canaries of NX-bescherming — in combinatie met het gebruik van foutgevoelige programmeertalen zoals C, verergert de potentiële impact van deze fouten.
Deze episode benadrukt het belang van het integreren van kunstmatige intelligentie in de workflows voor beveiliging en onderhoud van kritieke projecten, vooral die met beperkte middelen.
Bron: Microsoft Security Blog en Beveiligingsnieuws