BootHole, scoperta una vulnerabilità che affligge miliardi di dispositivi

Eclypsium ha rivelato una nuova vulnerabilità che consente agli aggressori di ottenere il controllo quasi totale dei sistemi Windows o Linux.

Avatar di Antonello Buzzi

a cura di Antonello Buzzi

Editor

Eclypsium, una società specializzata in soluzioni di sicurezza aziendali, ha rivelato una nuova vulnerabilità, chiamata BootHole, che consente agli aggressori di ottenere il controllo quasi totale dei sistemi Windows o Linux. La società afferma che miliardi di dispositivi siano vulnerabili, dai laptop, PC desktop, server e workstation, ad altri tipi di dispositivi, come attrezzature specializzate per i settori industriali, sanitari.

L'attacco espone una vulnerabilità nel framework UEFI Secure Boot che normalmente impedisce l'accesso non autorizzato al sistema durante l'avvio. Compromettendo Secure Boot, gli aggressori possono quindi utilizzare bootloader UEFI modificati per ottenere accesso e controllo completo del sistema. Fortunatamente, questo attacco richiede privilegi di alto livello per la sua riuscita (ma non l'accesso fisico), il che significa che sarebbe difficile per le entità esterne attaccare un sistema senza un certo livello di conoscenza o senza aver già ottenuto l'accesso alle credenziali con altri mezzi.

Tuttavia, una volta compromesso, il sistema sembra funzionare normalmente anche se il malware ha accesso completo al sistema e al sistema operativo. Il codice dannoso risiede quindi nel bootloader e pertanto persisterà anche dopo aver reinstallato il sistema operativo. Alla vulnerabilità (CVE-2020-10713) è stato assegnato un punteggio CVSS di 8,2, il che significa che gli aggressori possono sfruttare la vulnerabilità per ottenere un accesso quasi completo ad un dispositivo.

UEFI Secure Boot è uno standard industriale che protegge quasi tutti i server e i PC dagli attacchi durante il processo di avvio del sistema e tutti i sistemi dotati di Secure Boot sono interessati, anche se la funzione non è abilitata. Secure Boot utilizza le firme crittografiche per verificare ogni tipo di codice che può essere eseguito durante il processo di avvio. Il GRUB2 (Grand Unified Bootloader) gestisce il caricamento del sistema ed il trasferimento del controllo al sistema operativo durante l'avvio, e se questo processo è compromesso gli aggressori possono ottenere il pieno controllo del sistema.

Come spiegazione di base, l'attacco BootHole sfrutta una vulnerabilità di buffer overflow nel file di configurazione di GRUB2, che è un file di testo non protetto come altri file ed eseguibili. Ciò consente l'esecuzione arbitraria di codice all'interno di GRUB2 e permette quindi all'utente malintenzionato di inserire bootloader dannosi che consentono agli autori degli attacchi di accedere al sistema.

L'annuncio fa parte di una divulgazione coordinata con venditori di sistemi operativi, produttori di computer e CERT, molti dei quali, secondo Eclypsium, pubblicheranno singoli annunci oggi. Tre le aziende troviamo Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware ed una serie di vari OEM e fornitori di software.

La società prevede che la vulnerabilità richiederà del tempo prima di essere corretta su tutti i sistemi tramite patch.

Cercate una scheda video in grado di far girare alla grande anche gli ultimi videogiochi e dotata di un costo abbordabile? Vi consigliamo la Gigabyte Nvidia RTX 2060 Super, che potete acquistare su Amazon ad un prezzo decisamente interessante.