La vulnerabilità “BootHole” mette a rischio miliardi di sistemi Windows e Linux

I ricercatori di Eclypsium, una società di ricerca sulla sicurezza aziendale, hanno scoperto una grave vulnerabilità nel boot loader GRUB2 che gli aggressori possono sfruttare per inserire ed eseguire codice dannoso durante il processo di caricamento del sistema.

La vulnerabilità tracciata come CVE-2020-10713 e denominata “BootHole”, è una vulnerabilità di overflow del buffer in GRUB2 (Grand Unified Bootloader), un software che carica un sistema operativo (OS) in memoria all’avvio di un sistema. .

Questa falla compromette tutti i sistemi operativi (OS) che utilizzano GRUB2 con Secure Boot, un componente progettato per proteggere il processo di avvio dagli attacchi, anche se è attivo. Inoltre, la vulnerabilità interessa i sistemi che utilizzano Secure Boot, anche se non utilizzano GRUB2.

“Quasi tutte le versioni firmate di GRUB2 sono vulnerabili, il che significa che praticamente tutte le distribuzioni Linux sono interessate. Inoltre, GRUB2 è compatibile con altri sistemi operativi, kernel e hypervisor come Xen. Il problema si estende anche a qualsiasi dispositivo Windows che utilizza Secure Boot con l’autorità di certificazione UEFI di terze parti standard di Microsoft “, ha spiegato Eclypsium nel suo rapporto.

Di conseguenza, la maggior parte dei laptop, desktop, server e workstation, nonché dispositivi di rete e altre apparecchiature per scopi speciali utilizzati nei settori industriale, sanitario, finanziario e di altro tipo, sono interessati, ha aggiunto la società. . Gli aggressori possono sfruttare questa vulnerabilità per installare bootkit persistenti e furtivi o bootloader dannosi che potrebbero dare loro un “controllo quasi totale” sul dispositivo della vittima.

Secondo i ricercatori, l’effettiva vulnerabilità di BootHole si trova all’interno del file di configurazione di GRUB2 (grub.cfg), un file esterno che si trova comunemente nella partizione di sistema EFI. Questa vulnerabilità consente l’esecuzione di codice arbitrario all’interno di GRUB2 e, quindi, il controllo sull’avvio del sistema operativo. Ciò consentirebbe a un utente malintenzionato di modificare il contenuto del file di configurazione di GRUB2 per garantire che il codice di attacco venga eseguito prima del caricamento del sistema operativo. In questo modo, gli aggressori guadagnano la persistenza sul dispositivo.

leggere  Il PC da gioco desktop Tomahawk di Razer è ora disponibile per il preordine

I ricercatori di Eclypsium hanno notato che lo sfruttamento di questo tipo di vulnerabilità richiederebbe privilegi elevati sul dispositivo di destinazione. Tuttavia, fornirebbe all’aggressore un’ulteriore escalation di privilegi e persistenza sul dispositivo, anche con Secure Boot abilitato e l’esecuzione della verifica della firma su tutti gli eseguibili caricati.

Tutte le versioni di GRUB2 che caricano comandi da un file di configurazione grub.cfg esterno sono vulnerabili. In seguito alla scoperta della vulnerabilità BootHole, Eclypsium ha coordinato la divulgazione responsabile con una varietà di entità del settore, inclusi fornitori di sistemi operativi, produttori di computer e CERT.

La mitigazione richiederà la firma e l’implementazione di nuovi bootloader e la revoca dei bootloader vulnerabili per impedire agli avversari di utilizzare versioni precedenti e più vulnerabili in un attacco. È probabile che questo sia un processo lungo e le organizzazioni impiegheranno molto tempo per completare la patch “, ha osservato Eclypsium.

Joe McManus, Direttore dell’ingegneria della sicurezza di Canonical, ha dichiarato: “Grazie a Eclypsium, noi di Canonical, insieme al resto della comunità open source, abbiamo aggiornato GRUB2 per difenderci da questa vulnerabilità. Durante questo processo, abbiamo identificato sette vulnerabilità aggiuntive in GRUB2, che verranno risolte anche negli aggiornamenti rilasciati oggi. L’attacco in sé non è un exploit remoto e richiede che l’attaccante disponga dei privilegi di root. Con questo in mente, non la vediamo come una vulnerabilità popolare utilizzata in natura. Tuttavia, questo sforzo esemplifica davvero lo spirito di comunità che rende il software open source così sicuro”.

D’altra parte, Marcus Meissner, il leader del team di sicurezza di SUSE, ha sottolineato che, sebbene il problema fosse serio e necessitasse di una patch, non era poi così grave.

leggere  Quale paese ha la velocità Internet mobile più veloce? Trovalo ora!

Data la necessità dell’accesso root al boot loader, l’attacco descritto sembra avere una rilevanza limitata per la maggior parte degli scenari di cloud computing, data center e dispositivi personali, a meno che questi sistemi non siano già compromessi da un altro attacco noto. Tuttavia, crea esposizione quando utenti non attendibili possono accedere a una macchina, ad esempio cattivi attori in scenari informatici classificati o computer in spazi pubblici che operano in modalità chiosco non presidiato “, ha osservato Meissner.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *