Casa > cibernético Notícias > CVE-2020-10713: A falha do BootHole afeta praticamente todas as distribuições Linux
CYBER NEWS

CVE-2020-10713: A falha do BootHole afeta praticamente todas as distribuições Linux

BootHole é uma nova vulnerabilidade no carregador de inicialização GRUB2 usada pela maioria das distribuições Linux. a vulnerabilidade, CVE-2020-10713, pode ser explorado para execução arbitrária de código durante o processo de inicialização, mesmo com a Inicialização segura ativada.

Se explorado com sucesso, a vulnerabilidade pode dar aos invasores a oportunidade de instalar bootkits persistentes e furtivos ou gerenciadores de inicialização mal-intencionados. Uma vez instalado, isso pode dar aos atacantes controle quase total sobre dispositivos comprometidos, Pesquisadores do eclypsium alertam.

Sistemas afetados pelo BootHole (CVE-2020-10713) vulnerabilidade

Vale ressaltar que a vulnerabilidade afeta sistemas usando o Secure Boot, mesmo se eles não estiverem usando o GRUB2. Quase todas as versões assinadas do GRUB2 são propensas a ataques, o que significa que “praticamente toda distribuição Linux é afetada“. além disso, O GRUB2 suporta outros sistemas operacionais, grãos, e hipervisores como o Xen, os pesquisadores alertam em seu relatório.

O problema também se estende a qualquer dispositivo Windows que use a Inicialização segura com a autoridade de certificação UEFI de terceiros da Microsoft padrão. Assim, a maioria dos laptops, desktops, servidores e estações de trabalho são afetados, bem como aparelhos de rede e outros equipamentos de uso especial usados ​​em, cuidados de saúde, indústrias financeiras e outras. Essa vulnerabilidade torna esses dispositivos suscetíveis a invasores, como os agentes de ameaças descobertos recentemente usando carregadores de inicialização UEFI maliciosos.

Acontece também que o processo de inicialização é extremamente importante para a segurança de qualquer dispositivo. O processo de inicialização está associado ao firmware que controla a maneira como os componentes do dispositivo operam. Também coordena o carregamento do sistema operacional. “Em geral, o código anterior é carregado, quanto mais privilegiado é,” observa o relatório.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2020-7982-openwrt/”] CVE-2020-7982: Vulnerabilidade no OpenWRT Permite ataques MITM

E quanto à Inicialização Segura?

Modo de segurança, em particular, utiliza assinaturas criptográficas para verificar a integridade de cada parte do código, porque é necessário durante o processo de inicialização. Dois bancos de dados críticos estão envolvidos nesse processo: “o banco de dados Allow (db) de componentes aprovados e o Disallow DB (dbx) de componentes vulneráveis ​​ou mal-intencionados, incluindo firmware, motoristas, e gerenciadores de inicialização.”




q O acesso para modificar esses bancos de dados é protegido por uma chave de troca de chaves (BOLO), que por sua vez é verificado por uma chave de plataforma (PK). Embora o PK seja usado como raiz de confiança para atualizações na plataforma, não faz parte expressamente do processo de inicialização (mas é mostrado abaixo para referência). É dbx, db, e KEK que são usados ​​para verificar as assinaturas dos executáveis ​​carregados no momento da inicialização.

O BootHole (CVE-2020-10713) vulnerabilidade

Em resumo, a falha é do tipo de estouro de buffer, e ocorre no GRUB2 ao analisar o arquivo grub.cfg. “Esse arquivo de configuração é um arquivo externo comumente localizado na Partição do sistema EFI e, portanto, pode ser modificado por um invasor com privilégios de administrador sem alterar a integridade do calço do fornecedor assinado e dos executáveis ​​do carregador de inicialização GRUB2,” os pesquisadores explicam.

O buffer overflow permite que os invasores executem a execução arbitrária de código no ambiente de execução UEFI. Isso poderia ser explorado para executar malware, alterar o processo de inicialização, corrigir diretamente o kernel do SO, ou executar várias outras ações maliciosas.

Os pesquisadores dizem que atualizarão as informações disponível em seu relatório mais uma vez é conhecido. Eles também incentivam os usuários e administradores a observarem atentamente os alertas e notificações de seus fornecedores de hardware e projetos de código aberto relevantes..


Em março deste ano, pesquisadores de segurança descobriram uma 17-bug de execução remota de código de um ano que afeta o software daemon PPP (pppd) em quase todos os sistemas operacionais Linux. O daemon PPP vem instalado em uma ampla variedade de distribuições Linux, e também alimenta o firmware de uma série de dispositivos de rede. A vulnerabilidade do RCE, CVE-2020-8597, foi descoberta pela pesquisadora de segurança da IOActive, Ilja Van Sprundel.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo