La vulnerabilità ‘BootHole’ mette a rischio miliardi di sistemi Windows e Linux

I ricercatori di un’azienda di ricerca sulla sicurezza informatica, Eclypsium, hanno scoperto una grave vulnerabilità nel bootloader GRUB2 che può essere sfruttata dagli attaccanti per inserire ed eseguire codice malevolo durante il processo di avvio.

La vulnerabilità tracciata come CVE-2020-10713 e soprannominata “BootHole”, è una vulnerabilità di overflow del buffer in GRUB2 (Grand Unified Bootloader), un software che carica un sistema operativo (OS) in memoria quando un sistema si avvia.

Questo difetto compromette tutti i sistemi operativi (OS) che utilizzano GRUB2 con Secure Boot, un componente progettato per proteggere il processo di avvio dagli attacchi, anche se è attivo. Inoltre, la vulnerabilità colpisce i sistemi che utilizzano Secure Boot, anche se non stanno utilizzando GRUB2.

“Quasi tutte le versioni firmate di GRUB2 sono vulnerabili, il che significa che praticamente ogni distribuzione Linux è colpita. Inoltre, GRUB2 supporta altri sistemi operativi, kernel e hypervisor come Xen. Il problema si estende anche a qualsiasi dispositivo Windows che utilizza Secure Boot con la standard Microsoft Third Party UEFI Certificate Authority,” ha spiegato Eclypsium nel suo rapporto.

Di conseguenza, la maggior parte di laptop, desktop, server e workstation, così come dispositivi di rete e altre attrezzature specializzate utilizzate in settori industriali, sanitari, finanziari e altri settori sono colpiti, ha aggiunto l’azienda. Gli attaccanti possono sfruttare questa vulnerabilità per installare bootkit persistenti e furtivi o bootloader malevoli che potrebbero dare loro “quasi il controllo totale” sul dispositivo della vittima.

Secondo i ricercatori, la reale vulnerabilità BootHole si trova all’interno del file di configurazione di GRUB2 (grub.cfg), un file esterno comunemente situato nella EFI System Partition. Questa vulnerabilità consente l’esecuzione di codice arbitrario all’interno di GRUB2 e quindi il controllo sull’avvio del sistema operativo. Questo permetterebbe a un attaccante di modificare i contenuti del file di configurazione di GRUB2 per garantire che il codice di attacco venga eseguito prima che l’OS venga caricato. In questo modo, gli attaccanti ottengono persistenza sul dispositivo.

I ricercatori di Eclypsium hanno notato che sfruttare questo tipo di vulnerabilità richiederebbe privilegi elevati sul dispositivo target. Tuttavia, fornirebbe all’attaccante una potente escalation di privilegi e persistenza sul dispositivo, anche con Secure Boot abilitato e che esegue correttamente la verifica della firma su tutti gli eseguibili caricati.

Tutte le versioni di GRUB2 che caricano comandi da un file di configurazione grub.cfg esterno sono vulnerabili. A seguito della scoperta della vulnerabilità BootHole, Eclypsium ha coordinato la divulgazione responsabile con una varietà di entità del settore, inclusi fornitori di OS, produttori di computer e CERT.

“Le misure di mitigazione richiederanno nuovi bootloader da firmare e distribuire, e i bootloader vulnerabili dovrebbero essere revocati per prevenire che gli avversari utilizzino versioni più vecchie e vulnerabili in un attacco. Questo sarà probabilmente un processo lungo e richiederà tempo considerevole per le organizzazioni per completare la correzione,” ha notato Eclypsium.

Joe McManus, direttore della sicurezza ingegneristica di Canonical, ha dichiarato: “Grazie a Eclypsium, noi di Canonical, insieme al resto della comunità open-source, abbiamo aggiornato GRUB2 per difenderci da questa vulnerabilità. Durante questo processo, abbiamo identificato sette vulnerabilità aggiuntive in GRUB2, che saranno anch’esse corrette negli aggiornamenti rilasciati oggi. L’attacco stesso non è un exploit remoto e richiede che l’attaccante abbia privilegi di root. Tenendo presente ciò, non vediamo che sia una vulnerabilità popolare utilizzata in natura. Tuttavia, questo sforzo esemplifica davvero lo spirito di comunità che rende il software open source così sicuro.”

D’altra parte, Marcus Meissner, il capo del team di sicurezza SUSE, ha sottolineato che, sebbene il problema fosse serio e necessitasse di correzioni, non è così grave.

“Data la necessità di accesso root al bootloader, l’attacco descritto sembra avere una rilevanza limitata per la maggior parte degli scenari di cloud computing, data center e dispositivi personali, a meno che questi sistemi non siano già compromessi da un altro attacco noto. Tuttavia, crea un’esposizione quando utenti non fidati possono accedere a una macchina, ad esempio attori malintenzionati in scenari di calcolo classificato o computer in spazi pubblici operanti in modalità chiosco non supervisionata,” ha osservato Meissner.