La vulnerabilidad ‘BootHole’ pone en riesgo a miles de millones de sistemas Windows y Linux

Los investigadores de una empresa de investigación de seguridad empresarial, Eclypsium, han descubierto una grave vulnerabilidad en el cargador de arranque GRUB2 que puede ser explotada por atacantes para insertar y ejecutar código malicioso durante el proceso de arranque.

La vulnerabilidad rastreada como CVE-2020-10713 y apodada “BootHole”, es una vulnerabilidad de desbordamiento de búfer en GRUB2 (Grand Unified Bootloader), un software que carga un sistema operativo (OS) en la memoria cuando un sistema se inicia.

Este fallo compromete todos los sistemas operativos (OS) que utilizan GRUB2 con Secure Boot, un componente diseñado para proteger el proceso de arranque de ataques, incluso si está activo. Además, la vulnerabilidad afecta a sistemas que utilizan Secure Boot, incluso si no están utilizando GRUB2.

“Casi todas las versiones firmadas de GRUB2 son vulnerables, lo que significa que prácticamente todas las distribuciones de Linux están afectadas. Además, GRUB2 admite otros sistemas operativos, núcleos y hipervisores como Xen. El problema también se extiende a cualquier dispositivo Windows que utilice Secure Boot con la Autoridad de Certificación UEFI de Terceros de Microsoft estándar”, explicó Eclypsium en su informe.

Como resultado, la mayoría de las laptops, escritorios, servidores y estaciones de trabajo, así como dispositivos de red y otro equipo de propósito especial utilizado en industrias industriales, de salud, financieras y otras, están afectados, agregó la empresa. Los atacantes pueden explotar esta vulnerabilidad para instalar bootkits persistentes y sigilosos o cargadores de arranque maliciosos que podrían darles “casi control total” sobre el dispositivo de la víctima.

Según los investigadores, la vulnerabilidad real de BootHole se encuentra dentro del archivo de configuración de GRUB2 (grub.cfg), un archivo externo comúnmente ubicado en la partición del sistema EFI. Esta vulnerabilidad permite la ejecución de código arbitrario dentro de GRUB2 y, por lo tanto, el control sobre el arranque del sistema operativo. Esto permitiría a un atacante modificar el contenido del archivo de configuración de GRUB2 para asegurarse de que el código de ataque se ejecute antes de que se cargue el OS. De esta manera, los atacantes obtienen persistencia en el dispositivo.

Los investigadores de Eclypsium señalaron que explotar este tipo de vulnerabilidad requeriría privilegios elevados en el dispositivo objetivo. Sin embargo, proporcionaría al atacante una poderosa escalada adicional de privilegios y persistencia en el dispositivo, incluso con Secure Boot habilitado y realizando correctamente la verificación de firma en todos los ejecutables cargados.

Todas las versiones de GRUB2 que cargan comandos desde un archivo de configuración externo grub.cfg son vulnerables. Tras el descubrimiento de la vulnerabilidad BootHole, Eclypsium ha coordinado la divulgación responsable con una variedad de entidades de la industria, incluidos proveedores de OS, fabricantes de computadoras y CERTs.

“Las mitigaciones requerirán que se firmen y desplieguen nuevos cargadores de arranque, y los cargadores de arranque vulnerables deben ser revocados para evitar que los adversarios utilicen versiones antiguas y vulnerables en un ataque. Este será probablemente un proceso largo y tomará un tiempo considerable para que las organizaciones completen el parcheo”, señaló Eclypsium.

Joe McManus, director de ingeniería de seguridad de Canonical, dijo: “Gracias a Eclypsium, nosotros en Canonical, junto con el resto de la comunidad de código abierto, hemos actualizado GRUB2 para defendernos contra esta vulnerabilidad. Durante este proceso, identificamos siete vulnerabilidades adicionales en GRUB2, que también se corregirán en las actualizaciones lanzadas hoy. El ataque en sí no es un exploit remoto y requiere que el atacante tenga privilegios de root. Con eso en mente, no vemos que sea una vulnerabilidad popular utilizada en la naturaleza. Sin embargo, este esfuerzo realmente ejemplifica el espíritu de comunidad que hace que el software de código abierto sea tan seguro.”

Por otro lado, Marcus Meissner, líder del equipo de seguridad de SUSE, señaló que, si bien el problema era grave y necesitaba ser parcheado, no es tan malo.

“Dada la necesidad de acceso root al cargador de arranque, el ataque descrito parece tener una relevancia limitada para la mayoría de los escenarios de computación en la nube, centros de datos y dispositivos personales, a menos que estos sistemas ya estén comprometidos por otro ataque conocido. Sin embargo, crea una exposición cuando usuarios no confiables pueden acceder a una máquina, por ejemplo, actores maliciosos en escenarios de computación clasificados o computadoras en espacios públicos que operan en modo quiosco desatendido”, señaló Meissner.