Investigadores de seguridad en Eclypsium han revelado una vulnerabilidad grave en el Gestor de arranque GRUB2 los ciberdelincuentes podrían utilizarlo para tomar un «control casi total» de los sistemas Linux durante el proceso de arranque e instalar kits de arranque «persistentes y sigilosos» o cargadores de arranque maliciosos que incluso funcionarán Arranque seguro está habilitado y funciona correctamente.
Apodada BootHole, la vulnerabilidad de 8.2 CVSS clasificada afecta a los sistemas que utilizan casi todas las versiones firmadas de GRUB2, lo que significa que prácticamente todas las distribuciones de Linux se ven afectadas.
Sin embargo, se entiende que el problema es aún más extenso que solo Linux: GRUB2 también se usa para admitir otros sistemas operativos, núcleos e hipervisores como Xen, y el problema también se extiende a cualquier dispositivo de Windows que use el Arranque seguro con el estándar Microsoft Third Partido Interfase Extensible de Firmware Unificado (UEFI) Autoridad de certificación: por lo que la mayoría de las computadoras portátiles, computadoras de escritorio, servidores y estaciones de trabajo están en riesgo.
Se espera que Microsoft, el Equipo de Respuesta a la Seguridad de UEFI, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware y otros OEM y proveedores de software publiquen avisos y actualizaciones por separado de manera inminente, dijo Eclypsium.
Porque el proceso de arranque es una parte tan fundamental de la forma en que funcionan las computadoras, ser capaz de comprometerlo significa que los atacantes pueden controlar cómo se carga todo el sistema operativo del sistema y subvertir prácticamente cualquier control de seguridad de capa superior que exista.
Este error en particular es un vulnerabilidad de desbordamiento del búfer en cómo GRUB2 analiza el contenido de su archivo de configuración. Esto permite la ejecución de código arbitrario dentro de GRUB2 y el control sobre el proceso de arranque. Requiere que un atacante tenga privilegios elevados, pero, como resultado, les permite modificar el contenido del archivo de configuración para garantizar que el código de ataque se ejecute antes de que se cargue el sistema operativo, y ganar persistencia en el dispositivo, independientemente de la presencia o funcionalidad del arranque seguro .
En última instancia, un actor que explota con éxito la vulnerabilidad podría usarla para ejecutar una variedad de otras acciones maliciosas, incluida la filtración de datos o la instalación de malware o ransomware.
«Eclypsium ha coordinado la divulgación responsable de esta vulnerabilidad con una variedad de entidades de la industria, incluidos los proveedores de sistemas operativos, fabricantes de computadoras y CERT», dijo la firma en una publicación de blog de divulgación, que se puede leer en su totalidad aquí.
«La mitigación requerirá que se firmen e implementen nuevos gestores de arranque, y los gestores de arranque vulnerables deberían ser revocados para evitar que los adversarios utilicen versiones más antiguas y vulnerables en un ataque», dijo. «Probablemente será un proceso largo y tomará un tiempo considerable para que las organizaciones completen los parches».
Hay una serie de razones para esto, sobre todo porque las actualizaciones relacionadas con UEFI tienen Una historia notable de dispositivos de ladrillo y tener que retirarse a toda prisa, por lo que los afectados deberán ser cautelosos en cómo proceder.
Eclypsium recomendó que los equipos de TI y seguridad verifiquen que tengan las capacidades adecuadas para monitorear los cargadores de arranque y firmware UEFI y verificar las configuraciones de UEFI en sus sistemas, y que prueben minuciosamente las capacidades de recuperación a medida que las actualizaciones estén disponibles (incluidas las configuraciones de restablecimiento de fábrica).
Mientras tanto, es importante monitorear ampliamente cualquier amenaza o que se sabe que usan gestores de arranque vulnerables para infectar objetivos.