BootHole é uma nova vulnerabilidade no carregador de inicialização GRUB2 usada pela maioria das distribuições Linux. a vulnerabilidade, CVE-2020-10713, pode ser explorado para execução arbitrária de código durante o processo de inicialização, mesmo com a Inicialização segura ativada.
Se explorado com sucesso, a vulnerabilidade pode dar aos invasores a oportunidade de instalar bootkits persistentes e furtivos ou gerenciadores de inicialização mal-intencionados. Uma vez instalado, isso pode dar aos atacantes controle quase total sobre dispositivos comprometidos, Pesquisadores do eclypsium alertam.
Sistemas afetados pelo BootHole (CVE-2020-10713) vulnerabilidade
Vale ressaltar que a vulnerabilidade afeta sistemas usando o Secure Boot, mesmo se eles não estiverem usando o GRUB2. Quase todas as versões assinadas do GRUB2 são propensas a ataques, o que significa que “praticamente toda distribuição Linux é afetada“. além disso, O GRUB2 suporta outros sistemas operacionais, grãos, e hipervisores como o Xen, os pesquisadores alertam em seu relatório.
O problema também se estende a qualquer dispositivo Windows que use a Inicialização segura com a autoridade de certificação UEFI de terceiros da Microsoft padrão. Assim, a maioria dos laptops, desktops, servidores e estações de trabalho são afetados, bem como aparelhos de rede e outros equipamentos de uso especial usados em, cuidados de saúde, indústrias financeiras e outras. Essa vulnerabilidade torna esses dispositivos suscetíveis a invasores, como os agentes de ameaças descobertos recentemente usando carregadores de inicialização UEFI maliciosos.
Acontece também que o processo de inicialização é extremamente importante para a segurança de qualquer dispositivo. O processo de inicialização está associado ao firmware que controla a maneira como os componentes do dispositivo operam. Também coordena o carregamento do sistema operacional. “Em geral, o código anterior é carregado, quanto mais privilegiado é,” observa o relatório.
E quanto à Inicialização Segura?
Modo de segurança, em particular, utiliza assinaturas criptográficas para verificar a integridade de cada parte do código, porque é necessário durante o processo de inicialização. Dois bancos de dados críticos estão envolvidos nesse processo: “o banco de dados Allow (db) de componentes aprovados e o Disallow DB (dbx) de componentes vulneráveis ou mal-intencionados, incluindo firmware, motoristas, e gerenciadores de inicialização.”
q O acesso para modificar esses bancos de dados é protegido por uma chave de troca de chaves (BOLO), que por sua vez é verificado por uma chave de plataforma (PK). Embora o PK seja usado como raiz de confiança para atualizações na plataforma, não faz parte expressamente do processo de inicialização (mas é mostrado abaixo para referência). É dbx, db, e KEK que são usados para verificar as assinaturas dos executáveis carregados no momento da inicialização.
O BootHole (CVE-2020-10713) vulnerabilidade
Em resumo, a falha é do tipo de estouro de buffer, e ocorre no GRUB2 ao analisar o arquivo grub.cfg. “Esse arquivo de configuração é um arquivo externo comumente localizado na Partição do sistema EFI e, portanto, pode ser modificado por um invasor com privilégios de administrador sem alterar a integridade do calço do fornecedor assinado e dos executáveis do carregador de inicialização GRUB2,” os pesquisadores explicam.
O buffer overflow permite que os invasores executem a execução arbitrária de código no ambiente de execução UEFI. Isso poderia ser explorado para executar malware, alterar o processo de inicialização, corrigir diretamente o kernel do SO, ou executar várias outras ações maliciosas.
Os pesquisadores dizem que atualizarão as informações disponível em seu relatório mais uma vez é conhecido. Eles também incentivam os usuários e administradores a observarem atentamente os alertas e notificações de seus fornecedores de hardware e projetos de código aberto relevantes..
Em março deste ano, pesquisadores de segurança descobriram uma 17-bug de execução remota de código de um ano que afeta o software daemon PPP (pppd) em quase todos os sistemas operacionais Linux. O daemon PPP vem instalado em uma ampla variedade de distribuições Linux, e também alimenta o firmware de uma série de dispositivos de rede. A vulnerabilidade do RCE, CVE-2020-8597, foi descoberta pela pesquisadora de segurança da IOActive, Ilja Van Sprundel.