Por qué importa: Miles de millones de computadoras en uso hoy en día dependen de una función llamada «arranque seguro» para garantizar que menos malware se infiltre en su computadora. Sin embargo, una nueva falla descubierta en uno de los cargadores de arranque más utilizados podría hacer que esa protección sea ineficaz y sería una pesadilla solucionarlo.
El mes pasado, los investigadores de la empresa de antivirus ESET Encontrar Un nuevo tipo de ransomware se está extendiendo, impidiendo que los usuarios accedan a datos importantes en sus computadoras. El lado positivo es que si activa una función UEFI llamada Arranque seguro, esto evitará que se cargue código malicioso durante el arranque del sistema.
Microsoft introdujo el arranque seguro en Windows 8 como un nuevo mecanismo para garantizar la integridad de todo el código que se ejecuta antes de que el sistema operativo se inicialice y se haga cargo. Estos códigos deben estar firmados por Microsoft con una clave raíz bajo una autoridad de certificación UEFI de terceros, lo cual es una excelente manera de mejorar la seguridad general de su PC.
Sin embargo, los investigadores de la empresa de seguridad Eclypsium establecido Una forma en que Secure Boot podría verse comprometido en su implementación actual. Específicamente, encontraron que GRUB2, un programa utilizado por casi todas las computadoras que ejecutan una distribución de Linux, tenía una vulnerabilidad que podía permitir que el malware ingresara al proceso de arranque.
La falla, denominada «BootHole», es esencialmente un problema de desbordamiento de búfer que se deriva de la forma en que el cargador de arranque GRUB2 lee el contenido del archivo de configuración principal en la partición del sistema EFI. Para instalar el malware rootkit, todo lo que un atacante debe hacer es cargar una versión modificada de GRUB2 con una cadena de texto larga en el archivo grub.cfg, que no está firmado digitalmente y, por lo tanto, no se marcará durante el arranque seguro.
La vulnerabilidad funciona debido a una relación especial entre GRUB2 y Secure Boot, que permite a los fabricantes de distribuciones de Linux usar algo llamado cargador de arranque «shim». Esto se hace por razones prácticas para que los mantenedores de estas distribuciones de Linux puedan actualizar los archivos binarios de GRUB2 y firmarlos con sus propios certificados, en lugar de tener que pasar por Microsoft.
En cuanto a Microsoft, la empresa reconoció el problema en un comunicado. Consultoría de seguridady otras partes afectadas como HP, VMware, Debian, Canonical, Red Hat y SUSE. Los investigadores de Eclypsium notaron que solo un proveedor realiza verificaciones de firmas en el archivo de configuración principal de GRUB2, lo que significa que BootHole afecta potencialmente a miles de millones de sistemas.
Mitigar este problema será particularmente difícil porque será un proceso de varias etapas que comenzará con la aplicación de parches a GRUB2. Los fabricantes de distribuciones de Linux deben actualizar sus instaladores, gestores de arranque, imágenes de recuperación ante desastres y correcciones de compatibilidad. Estas correcciones de compatibilidad luego deben estar firmadas por una autoridad de certificación UEFI de terceros de Microsoft, y las antiguas deben revocarse en el firmware de todos los sistemas afectados.Esto lleva a Arranque falló En el pasado, los fabricantes tenían diferentes implementaciones de este proceso.
