CYBER NEWS

CVE-2.020-10.713: BootHole Flaw interessa praticamente ogni distribuzione Linux

BootHole è una nuova vulnerabilità nel bootloader GRUB2 utilizzato dalla maggior parte delle distribuzioni Linux. La vulnerabilità, CVE-2.020-10.713, può essere sfruttato per l'esecuzione di codice arbitrario durante il processo di avvio, anche con Secure Boot abilitato.

Se sfruttata con successo, la vulnerabilità potrebbe offrire agli aggressori l'opportunità di installare bootkit persistenti e furtivi o bootloader dannosi. Una volta installato, questi potrebbero dare agli aggressori il controllo quasi completo sui dispositivi compromessi, Ricercatori Eclypsium avvertono.

Sistemi interessati da BootHole (CVE-2.020-10.713) vulnerabilità

È interessante notare che la vulnerabilità interessa i sistemi che utilizzano Secure Boot, anche nel caso in cui non stiano utilizzando GRUB2. Quasi tutte le versioni firmate di GRUB2 sono soggette all'attacco, che significa che “praticamente ogni distribuzione Linux è interessata“. Inoltre, GRUB2 supporta altri sistemi operativi, kernel, e hypervisor come Xen, i ricercatori avvertono nel loro rapporto.

Il problema si estende anche a qualsiasi dispositivo Windows che utilizza Avvio protetto con l'autorità di certificazione UEFI di terze parti standard di Microsoft. Quindi la maggior parte dei laptop, desktop, server e workstation sono interessati, così come le apparecchiature di rete e altre apparecchiature per usi speciali utilizzate nell'industria, assistenza sanitaria, industrie finanziarie e di altro tipo. Questa vulnerabilità rende questi dispositivi sensibili agli aggressori come gli attori delle minacce recentemente scoperti utilizzando bootloader UEFI dannosi.

Si scopre anche che il processo di avvio è estremamente importante per la sicurezza di qualsiasi dispositivo. Il processo di avvio è associato al firmware che controlla il modo in cui funzionano i componenti del dispositivo. Coordina anche il caricamento del sistema operativo. “Generalmente, viene caricato il codice precedente, più è privilegiato,” osserva il rapporto.

Correlata: CVE-2020-7982: Una vulnerabilità in OpenWRT Consente attacchi MITM

Che dire di Secure Boot?

Avvio sicuro, in particolare, utilizza le firme crittografiche per verificare l'integrità di ogni parte di codice, perché è necessario durante il processo di avvio. In questo processo sono coinvolti due database critici: “il Consenti DB (db) di componenti approvati e Disallow DB (dbx) di componenti vulnerabili o dannosi, compreso il firmware, autisti, e bootloader.”




q L'accesso per modificare questi database è protetto da una chiave di scambio chiavi (TORTA), che a sua volta è verificato da una chiave di piattaforma (PK). Sebbene il PK sia usato come radice di fiducia per gli aggiornamenti della piattaforma, non fa espressamente parte del processo di avvio (ma è mostrato sotto per riferimento). È dbx, db, e KEK utilizzati per verificare le firme degli eseguibili caricati all'avvio.

BootHole (CVE-2.020-10.713) vulnerabilità

In breve, il difetto è di tipo buffer overflow, e si verifica in GRUB2 durante l'analisi del file grub.cfg. “Questo file di configurazione è un file esterno che si trova comunemente nella partizione di sistema EFI e può quindi essere modificato da un utente malintenzionato con privilegi di amministratore senza alterare l'integrità dello shim del fornitore firmato e degli eseguibili bootloader GRUB2,” spiegano i ricercatori.

L'overflow del buffer consente agli aggressori di eseguire l'esecuzione di codice arbitrario all'interno dell'ambiente di esecuzione UEFI. Questo potrebbe quindi essere sfruttato per eseguire malware, alterare il processo di avvio, patch direttamente il kernel del sistema operativo, o eseguire una serie di altre azioni dannose.

I ricercatori affermano che aggiorneranno le informazioni disponibile nel loro rapporto ancora una volta è noto. Incoraggiano inoltre gli utenti e gli amministratori a guardare attentamente avvisi e notifiche dai loro fornitori di hardware e relativi progetti open source.


Nel marzo di quest'anno, ricercatori della sicurezza hanno scoperto a 17-bug di esecuzione del codice remoto di un anno che influisce sul software demone PPP (pppd) in quasi tutti i sistemi operativi Linux. Il daemon PPP viene installato su una vasta gamma di distribuzioni Linux, e ha anche poteri del firmware di una gamma di dispositivi di rete. La vulnerabilità di RCE, CVE-2020-8597, è stato scoperto dal ricercatore di sicurezza IOActive Ilja Van Sprundel.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...