Pesquisadores da Eclypsium descobriram que a maioria das distribuições Linux, incluindo o software IoT, eram vulneráveis a uma vulnerabilidade perigosa. A vulnerabilidade descoberta está no mecanismo de inicialização, que facilita ignorar até o processo de verificação quando a Inicialização Segura está ativada. Os patches estão sendo preparados, mas o processo de patch pode demorar muito tempo.
Imagem de Eclypsium
O nome não oficial da nova vulnerabilidade é BootHole e o índice oficial atribuído a ela é CVE-2020-10713. Os especialistas em eclypsium descobriram a vulnerabilidade há cerca de seis meses e, desde então, enviaram informações a todas as empresas envolvidas na criação de distribuições Linux. Você pode esperar que os patches não sejam adiados, embora a complexidade de verificar a operação do gerenciador de inicialização com muitos componentes não prometa soluções fáceis.
Um dos elementos do popular carregador de inicialização GRUB2, em todas as suas formas, tornou-se um elo fraco na proteção do processo de inicialização de dispositivos executando o Linux. Este é o arquivo de configuração grub.cfg e é armazenado na partição do sistema EFI. Este arquivo não possui proteção criptográfica, como uma assinatura digital. Ele possui um formato de texto simples, cujo conteúdo pode ser modificado por qualquer pessoa com direitos de administrador. O mundo está cheio de vulnerabilidades de escalação de privilégios de usuário, portanto, a necessidade de privilégios de administrador para corrigir o grub.cfg não deve ser de nenhum conforto.
Um arquivo modificado por um invasor por meio de uma vulnerabilidade clássica de estouro de buffer torna possível controlar o processo de inicialização de um PC ou dispositivos com conexão à Internet. Por exemplo, para garantir que o kit de inicialização seja carregado e, assim, registrar permanentemente um software mal-intencionado no sistema que não pode ser removido, nem mesmo formatando a unidade. O mais triste é que a ativação do modo de inicialização segura, que por si só deve verificar todas as ações suspeitas do carregador de inicialização, não protege contra a vulnerabilidade do BootHole.
Essa vulnerabilidade afeta não apenas os sistemas executando apenas o Linux. Se o PC tiver duas opções de inicialização (Linux e Windows), ele também estará vulnerável ao BootHole. Isso coloca não apenas servidores e dispositivos de IoT em risco, mas também laptops e desktops.