Durante el día de hoy, hemos sido testigos de la publicación de una investigación por parte de Eclypsium sobre nueva vulnerabilidad relacionada con GRUB2 y a la que han bautizado como «BootHole«. Microsoft, por su parte, también ha publicado una nueva entrada en su portal de seguridad, alertando de ella y de la que hay difícil solución por el momento.
¿De qué trata la vulnerabilidad en GRUB2?
Los investigadores de Eclypsium han publicado los detalles de las vulnerabilidades descubiertas a las que han denominado «BootHole«, que abre miles de millones de dispositivos Windows y Linux a los ataques. Esta es una vulnerabilidad grave con una calificación del Sistema de puntuación de vulnerabilidad común (CVSS) de 8.2. La calificación más alta asignada en esta escala de gravedad es 10.
La vulnerabilidad BootHole en el gestor de arranque GRUB2 abre dispositivos Windows y Linux que utilizan el arranque seguro para atacar. Los atacantes pueden aprovechar el gestor de arranque para obtener la ejecución de código arbitrario durante el proceso de arranque, incluso cuando el arranque seguro está habilitado. Los atacantes que aprovechan esta vulnerabilidad pueden instalar bootkits persistentes y sigilosos o cargadores de arranque maliciosos que podrían darles un control casi total sobre el dispositivo víctima.
Según el informe, la mayoría de los ordenadores portátiles, ordenadores de escritorio, servidores y estaciones de trabajo se ven afectadas, así como los dispositivos de red y otros equipos de propósito especial utilizados en industrias, entidades financieras y un largo etcétera.
La solución tardará en llegar, y por varias razones
Eclypsium advierte que mitigar esta amenaza requerirá del lanzamiento de nuevos instaladores y cargadores de arranque para todas las versiones de Linux y potencialmente Windows. Los proveedores deberán lanzar nuevas versiones de sus bootloaders firmadas por la UEFI CA de terceros de Microsoft.
La mitigación completa requerirá esfuerzos coordinados de los proyectos de código abierto afectados, Microsoft y los propietarios de los sistemas afectados, entre otros. La lista de tareas para arreglar BootHole, según el informe, incluirá:
- Actualizaciones de GRUB2 para abordar la vulnerabilidad.
- Las distribuciones de Linux y otros proveedores que utilicen GRUB2 deberán actualizar sus instaladores, cargadores de arranque y shims.
- Las nuevas shims deberán estar firmadas por la UEFI CA de terceros de Microsoft.
- Los administradores de los dispositivos afectados deberán actualizar las versiones instaladas de los sistemas operativos, así como las imágenes del instalador, incluidos los medios de recuperación.
- Finalmente, la lista de revocación UEFI (dbx) debe actualizarse en el firmware de cada sistema afectado para evitar ejecutar este código vulnerable durante el arranque.
Las razones de una lenta implementación
La implementación completa de este proceso de revocación en las empresas probablemente será muy lenta. Las actualizaciones relacionadas con UEFI no suelen salir bien en muchos casos, lo que puede generar cierto pánico. Por lo tanto, los proveedores deberán ser muy cautelosos para evitar que la solución convierta las ordenadores en pisapapeles.
Un ejemplo bastante evidente, es que si la lista de revocación (dbx) se actualiza, el sistema no se cargará correctamente. Por lo tanto, los proveedores tendrán que liberar y aplicar actualizaciones de la lista de revocación para evitar que se rompan los sistemas que aún no se han actualizado.
Gracias a la investigación de Eclypsium, grandes empresas como Microsoft, VMware, HP, Oracle, Red Hat, Canonical y una larga lista… Ya han empezado a trabajar conjuntamente en una solución, aunque tendremos que esperar para ver los primeros parches.
