La vulnerabilidad crítica de GRUB2 afecta a millones de computadoras Linux y Windows

5
GRUB2

Un equipo de investigadores de ciberseguridad ha revelado detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos en todo el mundo, incluidos servidores y estaciones de trabajo, computadoras portátiles, computadoras de escritorio y sistemas IoT que ejecutan casi cualquier distribución. Sistema Linux o Windows.

Apodado «BootHole»Y etiquetado CVE-2020-10713, la vulnerabilidad reportada reside en el Gestor de arranque GRUB2, que, si se explota, podría permitir a los atacantes eludir la función de Arranque seguro y obtener acceso sigiloso persistente y de altos privilegios a los sistemas de destino.

MS recomienda

Administre los dispositivos de su empresa de manera inteligente Leer

Él Arranque seguro es una característica de seguridad de la interfaz de firmware extensible unificada (UEFI), que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute código criptográficamente firmado durante el proceso de arranque.

Uno de los objetivos de este “arranque seguro” es evitar que el código no autorizado, incluso cuando se ejecuta con privilegios de administrador, obtenga privilegios adicionales y persistencia antes de la ejecución del sistema al desactivar el arranque seguro o modificar la cadena de arranque. Aquí es precisamente donde radica el problema con GRUB2.

Descubierto por los investigadores de Eclypsium, BootHole es un vulnerabilidad de desbordamiento del búfer Afecta a todas las versiones de GRUB2 y existe en la forma en que analiza el contenido del archivo de configuración, que generalmente no está firmado como otros archivos y ejecutables, dando a los atacantes la oportunidad de romper el mecanismo de confianza. “El desbordamiento del búfer permite que un atacante obtenga ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchear directamente el núcleo del sistema operativo o realizar cualquier otra cantidad de acciones maliciosas”, los investigadores explicaron.

Vulnerabilidad GRUB2, severa, pero controlable

Cabe señalar que el archivo grub.cfg se encuentra en la partición del sistema EFI y, por lo tanto, para modificar el archivo, un atacante necesitaría acceder al sistema de destino con privilegios de administrador. Quiero decir, explotar BootHole es debe tener acceso de escritura a los archivos del sistema, específicamente al archivo de configuración GRUB.

Además, los investigadores de Eclypsium informaron previamente el problema y las principales compañías detrás de las distribuciones de Linux que lo usan ya están desarrollando un parche o lo han lanzado. Por este motivo y debido a la necesidad de acceso previo han limitado su extensión potencial: “Dada la necesidad de acceso al cargador raíz, el ataque descrito parece tener una relevancia limitada para la mayoría de los escenarios de computación en la nube, centro de datos y dispositivos personales, a menos que estos sistemas ya estén comprometidos por otro ataque conocido», han aclarado desde SUSE.

Hay que mencionar que el problema también se puede extender a cualquier dispositivo con Windows utiliza el Arranque seguro con la Autoridad de certificación UEFI de terceros de Microsoft. Para explotar BootHole en sistemas Windows, los atacantes pueden reemplazar los cargadores de arranque predeterminados instalados con una versión vulnerable de GRUB2 para instalar el malware rootkit.

Microsoft reconoció el problema e informó que “Está trabajando para completar la validación y las pruebas de compatibilidad de una actualización de Windows requerida que corrige esta vulnerabilidad”. También recomendado a usuarios aplicar parches de seguridad tan pronto como se implementen en las próximas semanas.

Además de Microsoft, muchas distribuciones populares de Linux también han publicado avisos relacionados que explican la vulnerabilidad, las posibles mitigaciones y la línea de tiempo para los próximos parches de seguridad:

Dejar respuesta

Please enter your comment!
Please enter your name here