Actualización Vulnerabilidad crítica en arranque GRUB2

24 Septiembre 2020
Crítico

En boletín del pasado 31 de julio abordamos una vulnerabilidad de alto riesgo que afectaba a millones de dispositivos con sistemas operativos GNU/Linux y Windows, incluyendo servidores, portátiles y dispositivos del Internet de las cosas (IoT). Esta vulnerabilidad fue bautizada como BootHole y está asociado a la referencia CVE-2020-10713, valorada en el sistema de puntuación de vulnerabilidades (CVSS) con una puntuación de 8.2, teniendo presente que su explotación requiere que el atacante tenga privilegios necesarios como para editar archivos de configuración.

Está presente en el "bootloader GRUB2" y su explotación permite a un atacante saltarse la función de "Secure Boot" para conseguir permisos elevados persistentes en los sistemas afectados, logrando así insertar malware conocido como "bootKit" (herramientas maliciosas que se cargan antes que el sistema operativo). 

Situación actual

De acuerdo a lo expuesto en nuestro boletín, la mitigación completa requerirá esfuerzos coordinados de los proyectos de código abierto afectados, Microsoft y los propietarios de los sistemas afectados, entre otros.

Es importante destacar que todas las versiones de GRUB2 que cargan comandos desde un archivo de configuración externo son vulnerables, y aunque este gestor de arranque está asociado con GNU/Linux, los sistemas de multi-arranque con Windows también se ven afectados.

La lista de tareas para arreglar BootHole, según el informe, se mantiene en la siguiente situación:

Tarea 1. Actualizaciones de GRUB2 para abordar la vulnerabilidad.

  • Actualización 2.06 o posterior .

Tarea 2. Las distribuciones de Linux y otros proveedores que utilicen GRUB2 deberán actualizar sus instaladores, cargadores de arranque y shims.

  • Las diferentes distribuciones Linux han publicado ya varios parches para sus distribuciones.
  • Otros fabricantes han actualizado sus cargadores de arranque y Shim (cargador de arranque de primera etapa que incorpora un certificado CA autofirmado) que hacen uso de la CA para Secure Boot utilizada por Microsoft y que mantiene las bases de datos de certificados válidos (db) y los revocados (dbx).
  • Un alto porcentaje ya ha publicado sus actualizaciones. Para mayores antecedentes, puede consultar las fuentes de referencias para obtener más información sobre las actualizaciones de diferentes fabricantes.

Tarea 3. Las nuevas shims deberán estar firmadas por la UEFI CA de terceros de Microsoft.

  • Aviso de seguridad ADV200011 publicado por Microsoft Titulado: Guía de Microsoft para abordar la omisión de funciones de seguridad en GRUB.

“Microsoft está trabajando para completar las pruebas de validación y compatibilidad de una actualización de Windows necesaria que solucione esta vulnerabilidad.” 

Tarea 4. Los administradores de los dispositivos afectados deberán actualizar las versiones instaladas de los sistemas operativos, así como las imágenes del instalador, incluidos los medios de recuperación.

Tarea 5. Finalmente, la lista de revocación UEFI (dbx) debe actualizarse en el firmware de cada sistema afectado para evitar ejecutar este código vulnerable durante el arranque.

Panorama

Explotar esta vulnerabilidad requiere acceso de administrador / root para acceder al archivo grub.cfg ubicado en la partición del sistema EFI, lo que significa que el atacante primero debe hacerse un acceso en el sistema y escalar los privilegios (el acceso físico también funciona). La vulnerabilidad solo ayuda con la persistencia en los reinicios del sistema, por lo que es innecesario, y peligrosamente ruidoso, que los atacantes lo utilicen si ya tienen root en un sistema que nunca se reinicia. También es improbable que cualquier atacante escriba espontáneamente un código de shell en modo real sobre la marcha que realice la inyección de arranque y la carga del sistema operativo. Si lo hacen, probablemente se merecen la victoria. 

El Centro de Ciberinteligencia recomienda lo siguiente:

  • Se recomienda aplicar las actualizaciones disponibles en medios oficiales de los proveedores, a medida estén disponibilizado, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes e incluso a su proveedor de servicio.
    • Puede consultar la sección de Referencias para obtener más información sobre las actualizaciones de diferentes fabricantes.

El listado de las CVE se adjunta a continuación:


Tags: #grub2 #vulnerabilidad #distros #windows #gnu #gnulinux #linux #arranque #boot #boothole
  • Productos Afectados
  • Producto Versión
    GRUB2 anterior a 2.06


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.