El nuevo agujero de seguridad pone en riesgo a los usuarios de Windows y Linux

 Eclypsium identifica la vulnerabilidad de seguridad informática de BootHole

Si eres un usuario de Windows o Linux, prepárate para un largo asedio de pesadillas de vulnerabilidad. La solución será larga y traicionera y podría bloquear sus computadoras.

Los investigadores de Eclypsium publicaron el miércoles detalles de un conjunto de vulnerabilidades recientemente descubiertas denominado "BootHole" que abre miles de millones de dispositivos Windows y Linux a los ataques.

Esta es una vulnerabilidad grave con una calificación del Sistema de puntuación de vulnerabilidad común (CVSS) de 8.2. La calificación más alta asignada en esta escala de gravedad es 10.

La vulnerabilidad BootHole en el gestor de arranque GRUB2 abre dispositivos Windows y Linux que utilizan el arranque seguro para atacar. Para mitigar la superficie de ataque, todos los sistemas operativos que utilizan GRUB2 con Secure Boot deben liberar nuevos instaladores y gestores de arranque, advirtieron los investigadores.

Los atacantes que exploten esta vulnerabilidad podrían obtener un control casi total del dispositivo comprometido. Según el informe, la mayoría de las computadoras portátiles, computadoras de escritorio, servidores y estaciones de trabajo se ven afectadas, así como los dispositivos de red y otros equipos de uso especial utilizados en industrias industriales, de salud, financieras y de otro tipo.

Los investigadores advirtieron que mitigar esto La vulnerabilidad requerirá que el programa vulnerable específico se firme y se implemente. También aconsejaron que los programas vulnerables deberían ser revocados para evitar que los adversarios utilicen versiones anteriores y vulnerables en un ataque.

Es probable que el cierre de este agujero de vulnerabilidad sea un proceso largo. Los investigadores dijeron que llevará un tiempo considerable para que los departamentos de TI de las organizaciones completen el parcheo.

Eclypsium ha coordinado la divulgación responsable de esta vulnerabilidad con una amplia variedad de entidades de la industria, incluidos los proveedores de sistemas operativos, fabricantes de computadoras y la Respuesta de emergencia de la computadora Equipo (CERT). Varias de estas organizaciones figuran en el informe y fueron parte de la divulgación coordinada del miércoles.

"Esta es probablemente la vulnerabilidad más extendida y grave que hemos encontrado en Eclypsium. Muchos de los problemas que encontramos en el pasado fueron específicos de Jesse Michael, investigador principal de Eclypsium, dijo a TechNewsWorld.

Esta vulnerabilidad se asignó a CVE- a un determinado proveedor o modelo, mientras que este problema es generalizado. Esta vulnerabilidad en el arranque seguro afecta la configuración predeterminada de la mayoría de los sistemas implementados en la última década. 2020-10713 GRUB2.

Encontrando y parcheando agujeros en el arranque

Los investigadores de Eclypsium tropezaron con el rastro de las vulnerabilidades de BootHole por accidente mientras realizaban una exploración proactiva rutinaria, según Michael.

"Estábamos explorando cualquier enlaces débiles en toda la infraestructura de arranque seguro. Como previamente habíamos visto un problema similar con el Arranque seguro y el cargador de arranque de Kaspersky, pensamos que deberíamos echar un vistazo más profundo a esa área. Hicimos un poco de fuzzing en GRUB2, que es ampliamente utilizado por la mayoría de las distribuciones de Linux, y encontramos una vulnerabilidad que resultó ser mucho más grande de lo que esperábamos ", dijo.

Fuzzing, o prueba de fuzz, es una técnica automatizada de prueba de software para encontrar errores de software pirateables. Los evaluadores proporcionan aleatoriamente diferentes permutaciones de datos en un programa objetivo hasta que una de esas permutaciones revela una vulnerabilidad.

Los investigadores aún no han visto a los malos explotando esta vulnerabilidad específica en la naturaleza, señaló. Pero los actores de amenazas han estado usando cargadores de arranque maliciosos de la interfaz de firmware extensible unificada (UEFI).

"Este tipo de ataque ha sido utilizado por malware, incluidos limpiadores y ransomware, durante mucho tiempo, y Secure Boot fue diseñado para proteger contra esta técnica. La vulnerabilidad BootHole hace que la mayoría de los dispositivos sean susceptibles incluso cuando Secure Boot está habilitado. Los actores de amenazas anteriores usaban la manipulación de malware con los cargadores de arranque del sistema operativo anterior, incluidos APT41 Rockboot, LockBit, FIN1 Nemesis, MBR-ONI, Petya / NotPetya y Rovnix ", señaló Michael.

Qué hace BootHole

Los atacantes pueden aprovechar el cargador de arranque GRUB2 que la mayoría de los sistemas Linux y las computadoras con Windows utilizan para obtener la ejecución de código arbitrario durante el proceso de arranque. Esto puede suceder incluso cuando Secure Boot está habilitado. dispositivo de la víctima, de acuerdo con el informe de Eclypsium.

Lo que hace que esta vulnerabilidad de BootHole sea aún más amenazante es su capacidad de afectar a los sistemas que usan Secure Boot, incluso si no están usando GRUB2. Casi todas las versiones firmadas de GRUB2 son vulnerables. Esto significa que casi todas las distribuciones de Linux se ven afectadas. Además, GRUB2 es compatible con otros sistemas operativos, núcleos e hipervisores como Xen.

Este pro blem también se extiende a cualquier dispositivo de Windows que use Secure Boot con la autoridad de certificación UEFI de terceros de Microsoft. Por lo tanto, BootHole afecta a la mayoría de las computadoras portátiles, computadoras de escritorio, servidores y estaciones de trabajo. La vulnerabilidad también amenaza los dispositivos de red y otros equipos de propósito especial utilizados en industrias industriales, sanitarias, financieras y de otro tipo. Esta vulnerabilidad hace que estos dispositivos sean susceptibles a los atacantes, como los actores de amenazas descubiertos recientemente utilizando cargadores de arranque UEFI maliciosos, señalaron investigadores de Eclypsium.

Si el proceso de arranque seguro se ve comprometido, los atacantes pueden controlar cómo se carga el sistema operativo y subvertir todo más alto. controles de seguridad de capa. Investigaciones recientes identificaron ransomware en la naturaleza utilizando cargadores de arranque EFI maliciosos como una forma de tomar el control de las máquinas en el momento del arranque. Anteriormente, los actores de amenazas usaban la manipulación de malware con los cargadores de arranque del sistema operativo anterior, incluidos APT41 Rockboot, LockBit, FIN1 Nemesis, MBR-ONI, Petya / NotPetya y Rovnix, señaló el informe.

Escuadrón de fusilamiento circular

Los atacantes también pueden usar un cargador de arranque vulnerable contra el sistema, agregaron los redactores del informe. Por ejemplo, si BootHole encuentra un cargador de arranque válido con una vulnerabilidad, puede reemplazar una pieza de malware en el cargador de arranque existente del dispositivo con la versión vulnerable.

El arranque de arranque sería permitido por Secure Boot y le daría al malware un control completo sobre el sistema y el sistema operativo en sí. Mitigar esto requiere una gestión muy activa de la base de datos dbx utilizada para identificar código malicioso o vulnerable.


 Problemas del proceso de arranque seguro del informe Eclypsium BootHole

El proceso de arranque seguro tiene problemas potenciales con muchos fragmentos de código. Una vulnerabilidad en cualquiera de ellos presenta un único punto de falla que podría permitir que un atacante omita el Arranque seguro, según el informe BootHole de Eclypsium.


Además, tratar de corregir las vulnerabilidades que busca BootHole puede ser potencialmente mortal para el hardware y software. Las actualizaciones y correcciones al proceso de arranque seguro pueden ser particularmente complejas. La complejidad plantea el riesgo adicional de romper máquinas inadvertidamente.

El proceso de arranque por naturaleza involucra una variedad de jugadores y componentes que incluyen OEM de dispositivos, proveedores de sistemas operativos y administradores. La naturaleza fundamental del proceso de arranque hace que cualquier tipo de problema en el camino represente un alto riesgo de inutilizar un dispositivo. Como resultado, las actualizaciones de arranque seguro suelen ser lentas y requieren pruebas exhaustivas de la industria.

Buffer Editor

La vulnerabilidad BootHole es un desbordamiento del búfer que ocurre en GRUB2 al analizar el archivo de configuración de grub, según los investigadores de Eclypsium. El archivo de configuración GRUB2 (grub.cfg) es simplemente un archivo de texto. Por lo general, no está firmado como otros archivos y código ejecutable.

Esta vulnerabilidad permite la ejecución de código arbitrario dentro de GRUB2 y, en última instancia, el control sobre el arranque del sistema operativo. Como resultado, un atacante podría modificar el contenido del archivo de configuración GRUB2 para garantizar que el código de ataque se ejecute antes de cargar el sistema operativo. De esta manera, los atacantes ganan persistencia en el dispositivo, según el informe.

Para lograr tal intrusión, el atacante necesitaría privilegios elevados. Pero proporcionaría al atacante una poderosa escalada adicional de privilegios y persistencia en el dispositivo. Esto ocurriría con o sin Secure Boot habilitado y realizando correctamente la verificación de firma en todos los ejecutables cargados.

Esfuerzo de mitigación desafiante

Eclypsium advirtió que enchufar BootHole requerirá el lanzamiento de nuevos instaladores y cargadores de arranque para todas las versiones de Linux y potencialmente Windows. Los proveedores tendrán que lanzar nuevas versiones de sus calzas de gestor de arranque firmadas por la UEFI CA de terceros de Microsoft.

Hasta que se agreguen todas las versiones afectadas a la lista de revocación de dbx, un atacante podría usar una versión vulnerable de shim y GRUB2 para atacar el sistema. Esto significa que cada dispositivo que confíe en la CA UEFI de terceros de Microsoft será vulnerable durante ese período de tiempo.


 Teclas de arranque seguro

El Foro de interfaz de firmware extensible unificada (UEFI) desarrolló originalmente el Arranque seguro como una forma de proteger el proceso de arranque de este tipo de ataques.


Este archivo de configuración es un archivo externo comúnmente ubicado en el EFI System Partition y, por lo tanto, puede ser modificado por un atacante con privilegios de administrador sin alterar la integridad del shim del proveedor firmado y los ejecutables del gestor de arranque GRUB2.

El desbordamiento del búfer permite al atacante obtener una ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchear directamente el núcleo del sistema operativo o ejecutar cualquier cantidad de otras acciones maliciosas. [19659004] Esta vulnerabilidad no es específica de la arquitectura. Está en una ruta de código común y también se confirmó utilizando una versión ARM64 firmada de GRUB2.

El equipo de seguridad de Canonical encontró vulnerabilidades adicionales relacionadas con el código GRUB2 en respuesta al informe Eclypsium, señaló el informe Eclypsium . Eso tendrá un mayor impacto en la ruta de mitigación.

"Esas vulnerabilidades descubiertas por el equipo de seguridad canónico fueron todas de gravedad media. También hubo docenas de vulnerabilidades identificadas por otras organizaciones que aún no tienen asignados CVE individuales", dijo Michael.

Lo que se necesita arreglar

La mitigación completa requerirá esfuerzos coordinados de los proyectos de código abierto afectados, Microsoft y los propietarios de los sistemas afectados, entre otros. La lista de tareas para arreglar BootHole, según el informe, incluirá :

  • Actualizaciones a GRUB2 para abordar la vulnerabilidad.
  • Las distribuciones de Linux y otros proveedores que utilicen GRUB2 deberán actualizar sus instaladores, cargadores de arranque y cuñas.
  • Las nuevas cuñas deberán ser firmadas por la UEFI de terceros de Microsoft. CA.
  • Los administradores de los dispositivos afectados deberán actualizar las versiones instaladas de los sistemas operativos en el campo, así como las imágenes del instalador, incluidos los medios de recuperación ante desastres. [19659045] Eventualmente, la lista de revocación de UEFI (dbx) debe actualizarse en el firmware de cada sistema afectado para evitar ejecutar este código vulnerable durante el arranque.

Más bugaboos posibles

Despliegue completo Los investigadores sugirieron que este proceso de revocación para las empresas probablemente será muy lento. Las actualizaciones relacionadas con UEFI tienen un historial de inutilización de dispositivos. Por lo tanto, los proveedores deberán ser muy cautelosos para evitar que la solución convierta las computadoras en ladrillos.

Por ejemplo, si se actualiza la lista de revocación (dbx), el sistema no se cargará. Por lo tanto, los proveedores tendrán que aplicar actualizaciones de la lista de revocación a lo largo del tiempo para evitar que se rompan los sistemas que aún no se han actualizado.

Además, existen casos en los que actualizar el dbx puede ser difícil. Las condiciones de borde involucran computadoras con configuraciones de arranque dual o desaprovisionadas.

Otras circunstancias pueden complicar aún más las cosas. Por ejemplo, los procesos de recuperación ante desastres empresariales pueden encontrarse con problemas en los que los medios de recuperación aprobados ya no se inician en un sistema si se han aplicado actualizaciones de dbx.

Otra situación es cuando se necesita un intercambio de dispositivos debido a fallas de hardware. Es posible que los sistemas nuevos del mismo modelo ya hayan aplicado actualizaciones de dbx y fallarán al intentar iniciar los sistemas operativos instalados previamente. Entonces, antes de que las actualizaciones de dbx se envíen a los sistemas de flotas empresariales, los medios de recuperación e instalación también deben actualizarse y verificarse.

Pocas soluciones

Con las advertencias extremas del informe sobre las soluciones de arranque de hardware de ladrillo, existen pocas soluciones posibles para evitar que la cura sea peor que los resultados del ataque. Michael espera que ocurran ataques que aprovechen esto, si aún no lo han hecho.

"Si se deja sin acción o mitigación, esto dejará un agujero en todos los sistemas afectados", dijo. "También podría haber consecuencias inesperadas para la cura".

Las actualizaciones de revocación no son comunes, y esta será la revocación más grande jamás realizada. Los errores en esta parte del firmware que rara vez se utilizan pueden hacer que los sistemas se comporten inesperadamente después de la actualización. Para evitar tales problemas, la revocación no ocurrirá automáticamente. "Esto obliga a los equipos de seguridad a manejar cuidadosamente este problema utilizando la intervención manual", advirtió Michael.

Es posible que varios proveedores deban modificar las soluciones para que sus productos sean efectivos. En el pasado, se encontraron vulnerabilidades del cargador de arranque que los proveedores parchearon con éxito, según Charles King, analista principal de Pund-IT .

Por ejemplo, se reveló una en marzo que afectó a los teléfonos LG y en junio la compañía anunció que había publicado un parche para teléfonos que se remontaba a siete años.

¿Qué es peor: Meltdown y Spectre o BootHole?

Las vulnerabilidades Meltdown y Spectre de 2019 afectaron la confidencialidad. Permiten a un atacante robar secretos.

Esta vulnerabilidad afecta la integridad y la disponibilidad, así como la confidencialidad. Por lo tanto, BootHole tiene el potencial de un daño mucho más amplio, según Michael.

Utilizando el puntaje de gravedad CVSS estándar de la industria, Meltdown y Specter se clasificaron como vulnerabilidades de gravedad media, y BootHole se clasifica como una vulnerabilidad de gravedad alta, dijo.

Mientras que la vulnerabilidad BootHole se produce en el software (firmware del sistema), Meltdown y Spectre explotaron fallas de hardware que se integraron en muchas CPU. Un gran desafío con Meltdown y Spectre ha sido que las correcciones a menudo afectan significativamente el rendimiento de la CPU, señaló King.

"Parece poco probable que las correcciones de BootHole afecten de manera similar el rendimiento del sistema o dispositivo", dijo a TechNewsWorld.

Es más peligroso es relativo. El hecho de que exista una vulnerabilidad no significa que las personas encuentren una manera de explotarla de manera efectiva. Aunque Meltdown y Spectre atrajeron mucha atención cuando fueron revelados hace varios años, no ha visto ningún informe de hazañas exitosas, dijo King.

Qué hacer

La mayoría de los usuarios querrán implementar las actualizaciones que los proveedores lanzarán a partir del 29 de julio, sugirió Michael. Además de las actualizaciones automáticas lanzadas por los proveedores de sistemas operativos, será necesaria una acción manual para revocar las versiones antiguas y vulnerables de grub.

"Hasta que esto se haga, los sistemas seguirán siendo vulnerables", advirtió.

Equipos de seguridad empresarial También debería considerar la caza de amenazas o las actividades de monitoreo que analizan los cargadores de arranque presentes en los sistemas operativos, sugirió Michael. Esto debería revelar qué sistemas tienen gestores de arranque de aspecto sospechoso y archivos de configuración de grub.

"Teniendo en cuenta la complejidad de implementar estas actualizaciones en una empresa, dicha supervisión puede ser una solución importante para ganar tiempo mientras las actualizaciones se prueban e implementan", concluyó Michael

El informe Eclypsium está disponible aquí .


Leave a Reply

Your email address will not be published. Required fields are marked *

web web web web web web web web web web