BootHole: Vulnerabilidad Crítica En GRUB2 Afecta Windows Y Linux
Apodado BootHole y rastreado como CVE-2020-10713, la vulnerabilidad reportada reside en el gestor de arranque GRUB2, que, si se explota, podría permitir a los atacantes eludir la función de arranque seguro y obtener acceso persistente y sigiloso de alto privilegio a los sistemas de destino. La vulnerabilidad BootHole en el gestor de arranque GRUB2 abre dispositivos Windows y Linux que utilizan el arranque seguro y todos los sistemas operativos que utilizan GRUB2 con arranque seguro deben liberar nuevos instaladores y gestores de arranque
El Arranque seguro es una característica de seguridad de la Interfaz de firmware extensible unificada (UEFI) que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute el código firmado criptográficamente durante el proceso de arranque.
"Uno de los objetivos de diseño explícitos de Secure Boot es evitar que el código no autorizado, incluso con privilegios de administrador, obtenga privilegios adicionales y persistencia previa al SO deshabilitando Secure Boot o modificando la cadena de arranque", explica el informe.
Vulnerabilidad del cargador de arranque GRUB2
BootHole es una vulnerabilidad de desbordamiento de búfer que afecta a todas las versiones de GRUB2 y existe en la forma en que analiza el contenido del archivo de configuración, que generalmente no está firmado como otros archivos y ejecutables, lo que brinda a los atacantes la oportunidad de romper los mecanismos de confianza.
Para tener en cuenta, el archivo grub.cfg se encuentra en la partición del sistema EFI y, por lo tanto, para modificar el archivo, un atacante aún necesita un punto de apoyo inicial en el sistema de destino con privilegios de administrador que eventualmente le proporcionarán al atacante una escalada adicional de privilegio y persistencia en el dispositivo.
Aunque GRUB2 es el gestor de arranque estándar utilizado por la mayoría de los sistemas Linux, también es compatible con otros sistemas operativos, núcleos e hipervisores como XEN.
"El desbordamiento del búfer permite al atacante obtener una ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchar directamente el núcleo del sistema operativo o ejecutar cualquier otra cantidad de acciones maliciosas", dijeron los investigadores.
Por lo tanto, para explotar la falla de BootHole en los sistemas Windows, los atacantes pueden reemplazar los cargadores de arranque predeterminados instalados en sistemas Windows con una versión vulnerable de GRUB2 para instalar un rootkit.
"El problema también se extiende a cualquier dispositivo de Windows que use el Arranque seguro con la Autoridad de certificación UEFI de terceros de Microsoft", dice el informe.
Esta vulnerabilidad puede tener consecuencias importantes, y eso se debe principalmente a que el ataque permite a delincuentes informáticos ejecutar código malicioso incluso antes de que se inicie el sistema operativo, lo que dificulta que el software de seguridad detecte la presencia de malware o eliminarlo.
En un aviso, Microsoft reconoció el problema e informó que "está trabajando para completar la validación y las pruebas de compatibilidad de una actualización de Windows requerida que aborde esta vulnerabilidad". Además de Microsoft, muchas distribuciones populares de Linux han lanzado actualizaciones y mitigaciones:
Fuente: THN
Via: feedproxy.google.com