BootHole es una nueva vulnerabilidad en el gestor de arranque GRUB2 utilizado por la mayoría de las distribuciones de Linux. La vulnerabilidad, CVE-2020-10713, puede ser explotado para la ejecución de código arbitrario durante el proceso de arranque, incluso con el arranque seguro habilitado.
Si se explota con éxito, la vulnerabilidad podría dar a los atacantes la oportunidad de instalar bootkits persistentes y sigilosos o cargadores de arranque maliciosos. Una vez instalado, esto podría dar a los atacantes un control casi total sobre los dispositivos comprometidos, Los investigadores de Eclypsium advierten.
Sistemas afectados por BootHole (CVE-2020-10713) vulnerabilidad
Es de destacar que la vulnerabilidad afecta a los sistemas que utilizan el arranque seguro, incluso en caso de que no estén usando GRUB2. Casi todas las versiones firmadas de GRUB2 son propensas al ataque., Lo que significa que “prácticamente todas las distribuciones de Linux se ven afectadas“. Además, GRUB2 es compatible con otros sistemas operativos, granos, e hipervisores como Xen, los investigadores advierten en su informe.
El problema también se extiende a cualquier dispositivo de Windows que use el Arranque seguro con la Autoridad de certificación UEFI de terceros de Microsoft estándar. Por lo tanto, la mayoría de las computadoras portátiles, escritorios, servidores y estaciones de trabajo están afectados, así como dispositivos de red y otros equipos de uso especial utilizados en la industria, cuidado de la salud, industrias financieras y otras. Esta vulnerabilidad hace que estos dispositivos sean susceptibles a los atacantes, como los actores de amenazas descubiertos recientemente utilizando cargadores de arranque UEFI maliciosos.
También resulta que el proceso de arranque es extremadamente importante para la seguridad de cualquier dispositivo. El proceso de arranque está asociado con el firmware que controla el funcionamiento de los componentes del dispositivo.. También coordina la carga del sistema operativo.. “En general, se carga el código anterior, cuanto más privilegiado sea,” señala el informe.
¿Qué pasa con el arranque seguro??
Arranque seguro, en particular, utiliza firmas criptográficas para verificar la integridad de cada parte del código, porque es necesario durante el proceso de arranque. Dos bases de datos críticas están involucradas en este proceso: “Permitir DB (db) de componentes aprobados y Disallow DB (dbx) de componentes vulnerables o maliciosos, incluyendo firmware, conductores, y cargadores de arranque.”
q El acceso para modificar estas bases de datos está protegido por una clave de intercambio de claves (PASTEL), que a su vez es verificado por una clave de plataforma (PK). Aunque el PK se usa como una raíz de confianza para las actualizaciones de la plataforma, no es expresamente parte del proceso de arranque (pero se muestra a continuación como referencia). Es dbx, db, y KEK que se utilizan para verificar las firmas de los ejecutables cargados en el momento del arranque.
The BootHole (CVE-2020-10713) vulnerabilidad
En breve, la falla es del tipo de desbordamiento del búfer, y ocurre en GRUB2 al analizar el archivo grub.cfg. “Este archivo de configuración es un archivo externo comúnmente ubicado en la partición del sistema EFI y, por lo tanto, puede ser modificado por un atacante con privilegios de administrador sin alterar la integridad del shim del proveedor firmado y los ejecutables del cargador de arranque GRUB2,” explican los investigadores.
El desbordamiento del búfer permite a los atacantes llevar a cabo la ejecución de código arbitrario dentro del entorno de ejecución UEFI. Esto podría ser explotado para ejecutar malware, alterar el proceso de arranque, parchear directamente el núcleo del sistema operativo, o realizar una variedad de otras acciones maliciosas.
Los investigadores dicen que actualizarán la información. disponible en su informe una vez más se sabe. También alientan a los usuarios y administradores a estar atentos a las alertas y notificaciones de sus proveedores de hardware y proyectos relevantes de código abierto..
En marzo de este año, investigadores de seguridad descubrieron una 17-error de ejecución remota de código de un año que afecta el software PPP daemon (pppd) en casi todos los sistemas operativos Linux. El demonio PPP viene instalado en una amplia gama de distribuciones de Linux, y que también alimenta el firmware de una gama de dispositivos de red. La vulnerabilidad RCE, CVE-2020-8597, fue descubierto por la investigadora de seguridad de IOActive, Ilja Van Sprundel.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: