- Una falla en GRUB2 podría permitir que un actor malintencionado reemplace el gestor de arranque y se haga cargo del dispositivo.
- Es posible que la falla ya haya sido explotada en los últimos meses, ya que ha habido un aumento sospechoso en la circulación de gestores de arranque desagradables.
- Para abordar los riesgos, actualice su instalación de GRUB2, reinstale su distribución de Linux y aplique todas las actualizaciones entrantes tan pronto como lleguen.
Los investigadores de Eclypsium han descubierto una vulnerabilidad crítica en el gestor de arranque GRUB2, llamándola “agujero de arranque.” La falla podría permitir que un actor malicioso realice la ejecución de código arbitrario durante el proceso de arranque, incluso si el “Arranque seguro” está habilitado, instalando potencialmente kits de arranque persistentes y sigilosos en el sistema de destino.
El peor de los casos sería un control casi total sobre la computadora de la víctima, por lo que es fundamental corregir la falla lo antes posible.
Eclypsium descubrió que una vulnerabilidad en la forma en que GRUB2 analiza el contenido de su archivo de configuración (grub.cfg) podría permitir que alguien reemplace el gestor de arranque con una versión maliciosa. El archivo de configuración modificado no está firmado como debería y GRUB ni siquiera busca certificados de autenticación en este caso.
De esta manera, el atacante podría desencadenar una vulnerabilidad de desbordamiento del búfer durante el análisis, abriendo la puerta a la ejecución de código en UEFI. Allí, pueden ejecutar malware, alterar el proceso de arranque, manipular el kernel del sistema operativo y más. El archivo de configuración malicioso debe colocarse en la partición del sistema EFI, por lo que se requiere cierto nivel de acceso para que el ataque funcione.
El único propósito de la existencia de UEFI Secure Boot es proteger los sistemas de este tipo de ataques, pero la decisión de Microsoft de bloquear el sistema con complejidades de licencia ha obligado a los proyectos de código abierto a recurrir a herramientas alternativas de verificación de códigos y certificados, como cuñas que apuntan a CA UEFI de terceros de Microsoft. Como resultado, el proceso se vuelve más complicado, los atacantes tienen más posibilidades de encontrar una vulnerabilidad en cargadores de arranque como GRUB2.
Después del hallazgo inicial de Eclypsium, los investigadores de Microsoft, Canonical y Debian examinaron la seguridad de GRUB2 una vez más y descubrieron otras siete fallas de gravedad media, a saber, CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020- 14311, CVE-2020-15706, CVE-2020-15707 y CVE-2020-15705.
Con esta información en sus manos, los investigadores prepararon una compilación de GRUB2 parcheada, que todas las distribuciones de Linux deberían recibir en los próximos días, idealmente lo antes posible. Últimamente ha habido un aumento en la cantidad de cargadores de arranque maliciosos que aparecen en la naturaleza, por lo que es muy probable que los actores de amenazas ya estén explotando “BootHole”.
Recuerde, la falla afecta a GRUB2, por lo que ya sea que esté utilizando el gestor de arranque para acceder a un sistema Linux o un Windows partición, no hace ninguna diferencia. Ambos sistemas son vulnerables.
Para solucionar el problema, las distribuciones de Linux deben actualizar sus instaladores y paquetes GRUB2, y la CA UEFI externa de Microsoft deberá firmar nuevas correcciones.
Para los sistemas empresariales y de servidor, esto va a ser una pesadilla de manejar ahora, por lo que agregar un lista de revocación con la opción “restablecer valores predeterminados” para cuando las cosas vayan mal sería una buena idea.
