Se ha encontrado una nueva vulnerabilidad dirigida al gestor de arranque bootloader GRUB2 en miles de millones de dispositivos, incluidos desktops, laptopts, servidores y dispositivos IoT que se ejecutan en distribuciones de Linux y Windows. Denominada BootHole y monitoreada como CVE-2020-10713, esta vulnerabilidad permite a los actores maliciosos superar la función de arranque seguro y obtener privilegios de root en los sistemas.
El arranque seguro es una función utilizada en la Interfaz de Firmware Extensible Unificada (UEFI) que ayuda a cargar los componentes cruciales, los drivers, los archivos y el sistema operativo después de confirmar que el proceso de arranque ejecutado ha validado correctamente los códigos durante el arranque. Esta función está diseñada de tal manera que si el código no está autorizado, la secuencia de arranque no se procesará ni siquiera con privilegios de administrador.
BootHole es una vulnerabilidad de desbordamiento de búfer que explota la mayoría de las versiones del GRand Unified Boot Loader (GRUB2) cuando analiza el contenido, lo que permite a los hackers hacer una violación en el dispositivo y acceder a él como root. GRUB2 es usado por Linux y Windows con kernels y sistemas de hipervisor como un gestor de arranque regular.
Como es un fallo de desbordamiento de búfer, el hacker obtendrá una ejecución arbitraria de código que se usará más adelante para implementar programas maliciosos y cambiar las normas de arranque y los kernel del sistema operativo.
Esta falla puede ser explotada en Windows si los atacantes reemplazan la versión existente de GRUB2 por una antigua e implementan programas de malware de rootkit. Aquí está ele informe detallado de la vulnerabilidad de BootHole, cómo ingresa en GRUB2, y los procedimientos de mitigación para tratarla.
Como muchas otras vulnerabilidades, un simple parche debería haber corregido esto, pero desafortunadamente corregir esta falla no es tan fácil. Por el momento, la implementación de un parche no es una solución permanente, ya que los ciberdelincuentes todavía pueden sustituir la versión parcheada del gestor de arranque por una vulnerable y entrar en los dispositivos.
Una solución permanente sería lanzar los nuevos gestores de arranque (bootloaders) y eliminar los vulnerables simultáneamente para evitar que los atacantes vuelvan a implementar las versiones vulnerables. Se trata de un procedimiento de mitigación en dos etapas que sólo pueden ser implementados por los proveedores afectados y que tiene que ser aprobado por la UEFI de terceros de Microsoft.
Después de esto, el firmware de los sistemas afectados debe ser actualizado para no ejecutar este código malicioso durante sus procesos de arranque. Además, debido a la compleja naturaleza de estos procedimientos de mitigación, conseguir la corrección final llevará tiempo.
Sin embargo, hasta ahora, Microsoft está trabajando en una corrección y ha mencionado en su asesoría que está trabajando para validar y aprobar la solución de este problema. Se aconseja a los usuarios que actualicen sus sistemas tan pronto como se implementan los parches de seguridad. Aquí están los avisos de Red Hat, Debian, y SUSE.
Es importante actualizar sus dispositivos tan pronto como los parches estén disponibles. Si usted es un administrador de TI que gestiona manualmente varios dispositivos, puede ser el momento de considerar la posibilidad de invertir en una solución de gestión de parches para garantizar la seguridad de los dispositivos.
¿No está seguro por dónde empezar? ManageEngine Patch Manager Plus es una herramienta exclusiva de parches multiplataforma y ManageEngine Endpoint Central es una solución unificada de gestión de endpoints, ambas disponibles con una prueba gratuita de 30 días.
