¡Error crítico en GRUB2! Miles de sistemas Linux y Windows afectados

Estamos en la era de las vulnerabilidades masivas y con llamativos nombres que copan grandes titulares. En este caso, tenemos que hablar del descubrimiento de un equipo de ciberseguridad que hoy ha desvelado todos los detalles de una vulnerabilidad de alto riesgo que afecta a miles de millones de dispositivos con Linux y Windows, incluyendo servidores, portátiles, ordenadores de sobremesa y dispositivos del Internet de las cosas (IoT). Este ha sido bautizado como BootHole y afecta a GRUB2.

La vulnerabilidad BootHole, con la referencia CVE-2020-10713 ha sido valorada en el sistema de puntuación de vulnerabilidad común (CVSS) con un 8.2, siendo 10 la punutación más elevada que puede recibir en función de su gravedad. Esta está presente en el bootloader GRUB2 y podría permitir que un atacante se saltara la función de Secure Boot para conseguir permisos elevados persistentes en los sistemas afectados.

Como sabemos, Secure Boot es una función de seguridad de Unified Extensible Firmware Interface (UEFI) que impide la ejecución de cualquier software no firmado o certificado en el arranque del sistema. Uno de los objetivos de Secure Boot es evitar que el código no autorizado, incluso ejecutado con privilegios de administrador, obtenga privilegios adicionales deshabilitando Secure Boot o modificando la cadena de arranque.

Así es el fallo en GRUB2

La vulnerabilidad BootHole en el gestor de arranque GRUB2 puede comprometer dispositivos Windows y Linux que utilizan el arranque seguro. Los atacantes pueden aprovechar el fallo en el popular gestor de arranque para ejecutar código arbitrario durante el proceso de arranque, incluso cuando el arranque seguro está habilitado.

grub2

Se trata de una vulnerabilidad del tipo buffer overflow que afecta a todas las versiones de GRUB2. Está relacionada con la forma de procesar el fichero de configuración grub.cfg, que normalmente no está firmado como otros archivos o ejecutables.

Aprovechar el fallo de seguridad por parte de atacantes con acceso físico al dispositivo o privilegios de administradores puede ser para instalar malware, alterar el proceso de inicio, parchear el kernel del sistema operativo o realizar muchas otras acciones del tipo malicioso.

Uno de los principales problemas de esta vulnerabilidad es que se realiza el ataque antes de que se cargue el sistema operativo, por lo que se dificulta la tarea de detectar la presencia de malware o eliminarlo por parte de las soluciones de seguridad habituales.

Otro problema es que requerirá un elevado grado de colaboración entre varias empresas para su solución definitiva. Además, desde Eclypsium (responsable del descubrimiento del problema) apuntan a que sólo con instalar parches y actualizar GRUB2 no será suficiente, porque los atacantes pueden sustituirlo por una versión vulnerable.