Error crítico del cargador de arranque GRUB2 afecta a miles de millones de sistemas Linux y Windows

Un equipo de investigadores de ciberseguridad reveló detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos en todo el mundo, incluidos servidores y estaciones de trabajo, computadoras portátiles, computadoras de escritorio y sistemas IoT que ejecutan casi cualquier distribución de Linux o sistema de Windows. Apodado ‘ BootHole ‘ y […]

Un equipo de investigadores de ciberseguridad reveló detalles de una nueva vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos en todo el mundo, incluidos servidores y estaciones de trabajo, computadoras portátiles, computadoras de escritorio y sistemas IoT que ejecutan casi cualquier distribución de Linux o sistema de Windows.

Apodado ‘ BootHole ‘ y rastreado como CVE-2020-10713 , la vulnerabilidad reportada reside en el gestor de arranque GRUB2, que, si se explota, podría permitir a los atacantes eludir la función de arranque seguro y obtener acceso persistente y sigiloso de alto privilegio a los sistemas de destino.

El Arranque seguro es una característica de seguridad de la Interfaz de firmware extensible unificada (UEFI) que utiliza un cargador de arranque para cargar componentes críticos, periféricos y el sistema operativo al tiempo que garantiza que solo se ejecute el código firmado criptográficamente durante el proceso de arranque.

“Uno de los objetivos de diseño explícitos de Secure Boot es evitar que el código no autorizado, incluso con privilegios de administrador, obtenga privilegios adicionales y persistencia previa al SO deshabilitando Secure Boot o modificando la cadena de arranque”, explica el informe.

Vulnerabilidad del cargador de arranque GRUB2

Descubierto por investigadores de Eclypsium, BootHole es una vulnerabilidad de desbordamiento de búfer que afecta a todas las versiones de GRUB2 y existe en la forma en que analiza el contenido del archivo de configuración, que generalmente no está firmado como otros archivos y ejecutables, lo que brinda a los atacantes la oportunidad de romper la raíz de hardware del mecanismo de confianza.

Para tener en cuenta, el archivo grub.cfg se encuentra en la partición del sistema EFI y, por lo tanto, para modificar el archivo, un atacante aún necesita un punto de apoyo inicial en el sistema de destino con privilegios de administrador que eventualmente le proporcionarán al atacante una escalada adicional de privilegio y persistencia en el dispositivo.

Aunque GRUB2 es el gestor de arranque estándar utilizado por la mayoría de los sistemas Linux, también es compatible con otros sistemas operativos, núcleos e hipervisores como XEN.

“El desbordamiento del búfer permite al atacante obtener una ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchar directamente el núcleo del sistema operativo o ejecutar cualquier otra cantidad de acciones maliciosas”, dijeron los investigadores.