CYBER NEWS

CVE-2020-10713: A falha do BootHole afeta praticamente todas as distribuições Linux

BootHole é uma nova vulnerabilidade no carregador de inicialização GRUB2 usada pela maioria das distribuições Linux. a vulnerabilidade, CVE-2020-10713, pode ser explorado para execução arbitrária de código durante o processo de inicialização, mesmo com a Inicialização segura ativada.

Se explorado com sucesso, a vulnerabilidade pode dar aos invasores a oportunidade de instalar bootkits persistentes e furtivos ou gerenciadores de inicialização mal-intencionados. Uma vez instalado, isso pode dar aos atacantes controle quase total sobre dispositivos comprometidos, Pesquisadores do eclypsium alertam.

Sistemas afetados pelo BootHole (CVE-2020-10713) vulnerabilidade

Vale ressaltar que a vulnerabilidade afeta sistemas usando o Secure Boot, mesmo se eles não estiverem usando o GRUB2. Quase todas as versões assinadas do GRUB2 são propensas a ataques, o que significa que “praticamente toda distribuição Linux é afetada“. além disso, O GRUB2 suporta outros sistemas operacionais, grãos, e hipervisores como o Xen, os pesquisadores alertam em seu relatório.

O problema também se estende a qualquer dispositivo Windows que use a Inicialização segura com a autoridade de certificação UEFI de terceiros da Microsoft padrão. Assim, a maioria dos laptops, desktops, servidores e estações de trabalho são afetados, bem como aparelhos de rede e outros equipamentos de uso especial usados ​​em, cuidados de saúde, indústrias financeiras e outras. Essa vulnerabilidade torna esses dispositivos suscetíveis a invasores, como os agentes de ameaças descobertos recentemente usando carregadores de inicialização UEFI maliciosos.

Acontece também que o processo de inicialização é extremamente importante para a segurança de qualquer dispositivo. O processo de inicialização está associado ao firmware que controla a maneira como os componentes do dispositivo operam. Também coordena o carregamento do sistema operacional. “Em geral, o código anterior é carregado, quanto mais privilegiado é,” observa o relatório.

relacionado: CVE-2020-7982: Vulnerabilidade no OpenWRT Permite ataques MITM

E quanto à Inicialização Segura?

Modo de segurança, em particular, utiliza assinaturas criptográficas para verificar a integridade de cada parte do código, porque é necessário durante o processo de inicialização. Dois bancos de dados críticos estão envolvidos nesse processo: “o banco de dados Allow (db) de componentes aprovados e o Disallow DB (dbx) de componentes vulneráveis ​​ou mal-intencionados, incluindo firmware, motoristas, e gerenciadores de inicialização.”




q O acesso para modificar esses bancos de dados é protegido por uma chave de troca de chaves (BOLO), que por sua vez é verificado por uma chave de plataforma (PK). Embora o PK seja usado como raiz de confiança para atualizações na plataforma, não faz parte expressamente do processo de inicialização (mas é mostrado abaixo para referência). É dbx, db, e KEK que são usados ​​para verificar as assinaturas dos executáveis ​​carregados no momento da inicialização.

O BootHole (CVE-2020-10713) vulnerabilidade

Em resumo, a falha é do tipo de estouro de buffer, e ocorre no GRUB2 ao analisar o arquivo grub.cfg. “Esse arquivo de configuração é um arquivo externo comumente localizado na Partição do sistema EFI e, portanto, pode ser modificado por um invasor com privilégios de administrador sem alterar a integridade do calço do fornecedor assinado e dos executáveis ​​do carregador de inicialização GRUB2,” os pesquisadores explicam.

O buffer overflow permite que os invasores executem a execução arbitrária de código no ambiente de execução UEFI. Isso poderia ser explorado para executar malware, alterar o processo de inicialização, corrigir diretamente o kernel do SO, ou executar várias outras ações maliciosas.

Os pesquisadores dizem que atualizarão as informações disponível em seu relatório mais uma vez é conhecido. Eles também incentivam os usuários e administradores a observarem atentamente os alertas e notificações de seus fornecedores de hardware e projetos de código aberto relevantes..


Em março deste ano, pesquisadores de segurança descobriram uma 17-bug de execução remota de código de um ano que afeta o software daemon PPP (pppd) em quase todos os sistemas operacionais Linux. O daemon PPP vem instalado em uma ampla variedade de distribuições Linux, e também alimenta o firmware de uma série de dispositivos de rede. A vulnerabilidade do RCE, CVE-2020-8597, foi descoberta pela pesquisadora de segurança da IOActive, Ilja Van Sprundel.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...