Los sistemas Linux contienen una vulnerabilidad crítica en GRUB2 que afecta inclusive cuando el arranque seguro está activado. Denominada “Boothole“, la vulnerabilidad afecta a millones de equipos, incluyendo a aquellos con arranque múltiple.
GRUB2 (GRand Unified Bootloader versión 2) es un software incorporado en la mayor parte de las distribuciones Linux y sirve para gestionar el arranque del equipo. En equipos con arranque múltiple (por ejemplo, Windows y Linux), GRUB2 es fundamental para seleccionar qué sistema operativo iniciará el equipo, haciendo vulnerable al equipo con cualquier sistema operativo instalado en el mismo.
Por encontrarse en el sector de arranque de los equipos vulnerables, el fallo de seguridad podría permitir la ejecución de código malicioso o malware antes de que se cargue el sistema operativo en el equipo, para que el atacante obtenga el control total del equipo.
Se desconoce cuánto tiempo lleva en existencia la vulnerabilidad, que ahora ha sido catalogada como CVE-2020-10713. Tampoco se sabe si han habido ataques de explotación del fallo de seguridad.
Los expertos de Eclypsium identificaron la vulnerabilidad de desbordamiento de búfer en la forma en que GRUB2 analiza el contenido del archivo de configuración de GRUB2 (grub.cfg), un archivo de texto y que normalmente no está firmado como otros archivos y ejecutables.
Esta vulnerabilidad permite la ejecución de código arbitrario dentro de GRUB2 y, por lo tanto, el control sobre el arranque del sistema operativo. Como resultado, un atacante podría modificar el contenido del archivo de configuración GRUB2 para garantizar que el código de ataque se ejecute antes de que se cargue el sistema operativo, incluso con Secure Boot habilitado y realizando correctamente la verificación de firmas en todos los ejecutables cargados.
Un atacante con privilegios de administrador puede modificar el archivo grub.cfg, sin alterar la integridad de los ejecutables del cargador de arranque GRUB2 y la corrección del proveedor firmada. El desbordamiento del búfer permitiría al atacante obtener la ejecución de código arbitrario dentro del entorno de ejecución UEFI, que podría usarse para ejecutar malware, alterar el proceso de arranque, parchear directamente el kernel del sistema operativo o ejecutar cualquier cantidad de otras acciones maliciosas.