互联网安全内参 04月03日
AI赋能代码审计:利用微软Security Copilot辅助挖出20个漏洞
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

微软安全研究员利用Security Copilot人工智能工具,在GRUB2、U-Boot和Barebox等开源引导程序中发现了20个此前未知的零日漏洞。这些漏洞包括缓冲区溢出、整数溢出和旁道攻击等,影响依赖UEFI安全启动的设备。研究表明,Security Copilot显著加速了漏洞发现过程,节省了约一周的手动分析时间。相关漏洞已发布安全更新,建议用户及时更新以修复漏洞。

🛡️ 微软利用Security Copilot在GRUB2、U-Boot和Barebox中发现了20个零日漏洞,包括11个GRUB2漏洞和U-Boot、Barebox中的9个漏洞。

🔍 这些漏洞涉及文件系统解析器中的整数溢出和缓冲区溢出、命令缺陷以及加密比较中的旁道攻击,可能导致攻击者绕过安全启动,执行任意代码。

⏱️ Security Copilot辅助分析,节约了研究员约一周的手动分析时间,加速了漏洞发现和安全补丁发布的速度。

🛠️ 微软建议用户及时更新GRUB2、U-Boot和Barebox至最新版本,以修复这些漏洞,保护设备安全。

💡 Security Copilot通过分析引导加载程序功能,识别出网络、文件系统和加密签名是关键关注领域,并提供了针对性的缓解建议。

关注我们

带你读懂网络安全


微软安全研究员利用Security Copilot辅助分析大型复杂代码项目(GRUB2、U-Boot和Barebox),在其中找出了20个零日漏洞,据估算Security Copilot给研究员节约了约一周的手动分析时间。


前情回顾·大模型漏洞挖掘能力动态

安全内参4月3日消息,微软通过其AI驱动的Security Copilot发现了20个此前未知的漏洞,这些漏洞存在于GRUB2、U-Boot和Barebox等开源引导加载程序中。



开源引导程序被曝高危漏洞,


可本地预装引导木马


GRUB2是大多数Linux发行版(如Ubuntu)的默认引导加载程序,U-Boot和Barebox则通常用于嵌入式设备和物联网设备。

微软发现,GRUB2中存在11个漏洞,其中包括文件系统解析器中的整数溢出和缓冲区溢出、命令缺陷,以及加密比较中的旁道攻击。

此外,微软还在U-Boot和Barebox中发现了9个缓冲区溢出漏洞,涉及SquashFS、EXT4、CramFS、JFFS2和符号链接的解析。这些漏洞需要物理访问才能被利用。

这些新发现的漏洞影响了依赖UEFI安全启动的设备。在特定条件下,攻击者可以绕过安全保护机制,执行任意代码。

虽然利用这些漏洞可能需要设备的本地访问,但像BlackLotus这样的引导木马攻击,已经证明通过恶意软件也能实现此类攻击。

微软解释道:“尽管威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox中的漏洞,但在GRUB2的情况下,漏洞可能被进一步利用来绕过安全启动,安装隐形引导木马,或者绕过BitLocker等安全机制。”

“安装此类引导木马的后果极为严重,因为它可以让威胁行为者完全控制设备,进而控制启动过程和操作系统,破坏网络中其他设备,并实施其他恶意活动。” 

“此外,这还可能导致持久性恶意软件,即使重新安装操作系统或更换硬盘后也能继续存在。”



Security Copilot辅助挖洞,


节约了一周人工分析时间


微软威胁情报中心的研究员使用静态代码分析工具CodeQL、模糊测试工具AFL++等,对GRUB2模拟器(grub-emu)进行模糊测试、手动代码分析以及利用微软Security Copilot辅助,成功发现了这些漏洞。

在使用Security Copilot时,研究员首先分析了哪些引导加载程序功能最有可能存在漏洞,Copilot识别出网络、文件系统和加密签名是关键关注领域。考虑到网络漏洞正在持续分析,且加密通常由UEFI处理,研究员决定重点关注文件系统部分。

以JFFS2文件系统代码为例,研究员要求Copilot寻找所有潜在的安全问题,包括可利用性分析。Copilot识别了多个安全问题,研究员进一步请求Copilot筛选出其中五个最紧急的问题。在对这五个问题进行手动审查后,发现其中三个是误报,一个不可利用,剩下的问题是一个需要关注并进一步调查的整数溢出漏洞。

研究员利用Security Copilot成功地在其他GRUB2文件中识别了类似的漏洞模式。尽管存在误报的可能性,研究员还是对GRUB2进行了全面验证和审查,以确保没有遗漏任何问题,并确认了与整数溢出相关的其他漏洞。

微软表示,Security Copilot大大加快了在像GRUB2这样的大型复杂代码库中发现漏洞的过程,节省了大约一周的手动分析时间。

图:Copilot识别漏洞并提出修复建议

不仅如此,AI工具还能够识别出之前未曾发现的漏洞,并提供有针对性的缓解建议,这些建议能够加速安全补丁的发布,尤其是对于那些由志愿者和小型核心团队支持的开源项目。

微软表示,利用分析中的发现,Security Copilot还在使用共享代码的项目中,识别出了类似的错误,比如U-Boot和Barebox。



相关漏洞已发布安全更新


以下是微软在GRUB2中发现的11个漏洞。

    CVE-2024-56737:由于对非空终止字符串使用不安全的strcpy,导致HFS文件系统挂载中的缓冲区溢出。

    CVE-2024-56738:加密比较函数中存在旁道攻击(grub_crypto_memcmp不是常数时间)。

    CVE-2025-0677:UFS符号链接处理中的整数溢出导致缓冲区溢出。

    CVE-2025-0678:Squash4文件读取中的整数溢出导致缓冲区溢出。

    CVE-2025-0684:ReiserFS符号链接处理中的整数溢出导致缓冲区溢出。

    CVE-2025-0685:JFS符号链接处理中的整数溢出导致缓冲区溢出。

    CVE-2025-0686:RomFS符号链接处理中的整数溢出导致缓冲区溢出。

    CVE-2025-0689:UDF块处理中的越界读取。

    CVE-2025-0690:读取命令中存在带符号整数溢出和越界写入(键盘输入处理程序)。

    CVE-2025-1118:dump命令允许任意内存读取(应在生产环境中禁用)。

    CVE-2025-1125:HFS压缩文件打开时的整数溢出导致缓冲区溢出。

上述所有漏洞的严重性均为中等,只有CVE-2025-0678被评为“高危”(CVSS v3.1评分:7.8)。

微软还在U-Boot和Barebox中分别发现了4、5个漏洞,不过暂无漏洞信息公开。

GRUB2、U-Boot和Barebox在2025年2月发布了这些漏洞的安全更新,因此更新到最新版本应该能有效缓解这些漏洞。


参考资料:bleepingcomputer.com


推荐阅读




点击下方卡片关注我们,

带你一起读懂网络安全 ↓



📍发表于:中国 北京

🔗️ 阅读原文

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Security Copilot 零日漏洞 GRUB2 U-Boot Barebox
相关文章
Microsoft Patch Tuesday security updates for May 2024 fixes 2 actively exploited zero-days
VMware fixed zero-day flaws demonstrated at Pwn2Own Vancouver 2024
Google fixes sixth actively exploited Chrome zero-day this year
Threat actors may have exploited a zero-day in older iPhones, Apple warns
Google fixes seventh actively exploited Chrome zero-day this year, the third in a week
Google fixes eighth actively exploited Chrome zero-day this year, the third in a month
在最近的 MITRE 网络攻击中,黑客创建恶意虚拟机以逃避检测
Check Point released hotfix for actively exploited VPN zero-day
黑客在 "零日 "攻击中侵入帕丽斯-希尔顿和 CNN 的 TikTok 账户 - New York Post