Un grupo de investigadores ha descubierto una vulnerabilidad (CVE-2020-10713) en el gestor de arranque (bootloader) GRUB2 (Grand Unified Bootloader versión 2), usado hoy en día mayormente por sistemas Linux y Windows. Afectando a una gran cantidad de sistemas, que incluyen servidores, estaciones de trabajo, laptops, computadores de escritorio, y un largo número de sistemas de tecnologías de operación (OT) e Internet de las cosas (IoT).
Llamada por el grupo de expertos que la descubrieron como BootHole (CVE-2020-10713), puede ser utilizada para instalar diferentes tipos de malware como bootkits persistentes y sigilosos, como gestores de arranque maliciosos que operen incluso cuando el mecanismo de protección de arranque seguro este habilitado y funcionando. En el reporte, los investigadores destacan que la vulnerabilidad afecta a los sistemas con arranque seguro (Secure Boot), incluso si estos no usan GRUB2 y agregaron, casi todas las versiones firmadas de GRUB2 son vulnerables, lo que significa que prácticamente todas las distribuciones Linux están afectadas.
GRUB2 es soportado por otros sistemas operativos, kernels y hipervisores como Xen. Por lo cual, el problema también se extiende a cualquier sistema Windows que use Secure Boot con el estándar de Autoridad certificada de terceros de Microsoft UEFI. Los investigadores agregan que esta vulnerabilidad hace que estos dispositivos sean susceptibles a los actores maliciosos, como las amenazas descubiertas recientemente que utilizaban gestores de arranque maliciosos UEFI.
El principal problema que se ha encontrado después de descubrir la vulnerabilidad es mitigarla, debido a que afecta a un número importante de sistemas, haciendo necesario una acción masiva, compleja y probablemente en parte manual.
Para los expertos es inevitable que se requiera coordinar esfuerzos por parte de los afectados, debido a que incluirá actualizaciones para abordar la vulnerabilidad, las distribuciones Linux y otros sistemas que usen GRUB2 necesitarán actualizar sus instaladores, gestores de arranque y cuñas (una pequeña aplicación que contiene el certificado de la marca del sistema y código que verifica y ejecuta el gestor de arranque GRUB2). En el caso de Microsoft, necesitará firmar nuevas cuñas para su Autoridad Certificada de terceros UEFI; los administradores de los dispositivos afectados necesitarán actualizar sus sistemas operativos, así como las imágenes de instalación, incluyendo los medios de restauración o recuperación ante desastres y eventualmente la lista de revocación UEFI (dbx) necesitará ser actualizada en el firmware de cada sistema afectado para prevenir la ejecución de este código vulnerable durante el arranque.
En el reporte los investigadores proporcionaron recomendaciones, como varios enlaces de referencia de las marcas, software y productos afectados, las cuales pueden ver a continuación:
Microsoft:
Foro UEFI:
Debian:
SUSE:
Canonical:
Red Hat:
HP:
VMware:
Upstream Grub2 project:
La única buena noticia es que la vulnerabilidad no puede ser explotada de forma remota. El atacante debe tener acceso físico al sistema y escalar sus privilegios hasta root o administrador para explotarla. El real peligro radica en que los cibercriminales pueden incorporar esta vulnerabilidad dentro de un kit de arranque (bootkit), creando uno o varios bots, los cuales utilizarán o venderán en mercados clandestinos.
Fuente:
COMENTARIOS