Pesquisadores de uma empresa especializada em segurança corporativa, Eclypsium, descobriram uma séria vulnerabilidade no carregador de boot GRUB2 que pode ser explorada por invasores nos sistemas operacionais Windows e Linux. A falha permite inserir e executar códigos durante o processo de inicialização do sistema.
Conhecida como CVE-2020-10713 e apelidada de "BootHole", a vulnerabilidade causa uma inundação de buffer no GRUB2, sucessor do GRUB (Grand Unified Bootloader), um software que carrega o sistema operacional (SO) na memória quando iniciado.
A falha afeta todos os sistemas operacionais (SO) com Secure Boot (Modo Seguro), um componente projetado para proteger o processo de inicialização contra ataques. Além disso, a vulnerabilidade afeta os sistemas mesmo que não estejam usando o GRUB2.
"Quase todas as versões assinadas do GRUB2 são vulneráveis, o que significa que praticamente todas as distribuições Linux são afetadas. Além disso, o GRUB2 suporta outros sistemas operacionais, kernels e hipervisores como o Xen. O problema também se estende a qualquer dispositivo Windows que use a Inicialização segura com a Autoridade de Certificação UEFI de Terceiros Microsoft padrão", explicou Eclypsium em seu relatório.
A maioria dos laptops, desktops, servidores e locais de trabalho com dispositivos de rede e outros equipamentos de uso especial em indústrias de, saúde, financeira e outras, são afetadas.
A vulnerabilidade permite os invasores instalarem softwares Rootkits ou Bootkits mal-intencionados, que podem dar a eles um "controle quase total" sobre o dispositivo da vítima.
De acordo com os pesquisadores, a falha está localizada dentro do arquivo de configuração do GRUB2, grub.cfg, um arquivo externo localizado na Partição do sistema EFI.
Permitindo a execução de códigos no GRUB2 que podem fornecer controle durante a inicialização do sistema operacional.
Isso permite que um invasor modifique o conteúdo do arquivo de configuração GRUB2 para garantir que um código malicioso seja executado antes do carregamento do sistema.
Assim, os invasores tem a chance de executar códigos de ataque antes de qualquer sistema segurança do dispositivo.
Os pesquisadores ainda observaram que esse tipo de vulnerabilidade exigiria privilégios elevados no dispositivo de destino.
No entanto, isso apenas forneceria ao invasor uma manobra adicional poderosa de privilégios no dispositivo, mesmo com o "Modo Seguro" ativado e executando corretamente a verificação de assinatura em todos os executáveis carregados.
Após a descoberta de que todas as versões do GRUB2 são vulneráveis, a Eclypsium coordenou a divulgação responsável da falha com diversas entidades do setor de segurança corporativa, incluindo fornecedores de SO, fabricantes de computadores e CSIRT.
"A mitigação exigirá que novos gerenciadores de inicialização sejam assinados e implantados, e os gerenciadores de inicialização vulneráveis devem ser revogados para impedir que os adversários usem versões vulneráveis e antigas em um ataque. Provavelmente será um processo longo e levará um tempo considerável para que as organizações concluam as correções", observou Eclypsium.
Joe McManus, diretor de engenharia de segurança da Canonical tranquilizou os usuários, e disse:
"Graças ao Eclypsium, nós da Canonical, juntamente com o restante da comunidade de código aberto, atualizamos o GRUB2 para se defender dessa vulnerabilidade. Durante esse processo, identificamos sete vulnerabilidades adicionais no GRUB2, que também serão corrigidas nas atualizações lançadas hoje. O ataque em si não é uma exploração remota e exige que o invasor tenha privilégios de root. Com isso em mente, não vemos uma vulnerabilidade popular usada na natureza. No entanto, esse esforço realmente exemplifica o espírito da comunidade que torna o software de código aberto tão seguro."
Por outro lado, Marcus Meissner, líder da equipe de segurança do SUSE, uma empresa multinacional de softwares de código aberto com sede na Alemanha especializada em produtos Linux, apontou que, embora o problema fosse sério e precisasse de correção, ele não é tão grave como se pensa.
"Dada a necessidade de acesso root ao gerenciador de inicialização, o ataque descrito parece ter relevância limitada para a maioria dos cenários de computação em nuvem, data center e dispositivos pessoais, a menos que esses sistemas já estejam comprometidos por outro ataque conhecido. No entanto, cria uma exposição quando usuários não confiáveis podem acessar uma máquina, por exemplo, atores ruins em cenários de computação classificados ou computadores em espaços públicos que operam no modo de quiosque autônomo", observou Meissner.
Fonte: Eclypsium
