CiberSegurança

Nova falha de segurança coloca usuários do Windows e Linux em risco

Se você é um usuário do Windows ou Linux, prepare-se para um longo cerco de pesadelos de vulnerabilidade. A correção será longa e traiçoeira e pode bloquear seus computadores.

Os pesquisadores do Eclypsium divulgaram na quarta-feira detalhes de um conjunto de vulnerabilidades recém-descobertas, apelidado de “BootHole”, que abre bilhões de dispositivos Windows e Linux a ataques.

Esta é uma vulnerabilidade séria com uma classificação do Common Vulnerability Scoring System (CVSS) de 8,2. A classificação mais alta atribuída nesta escala de gravidade é 10.

A vulnerabilidade BootHole no carregador de inicialização GRUB2 abre dispositivos Windows e Linux usando a inicialização segura para atacar. Para atenuar a superfície de ataque, todos os sistemas operacionais que usam GRUB2 com inicialização segura devem lançar novos instaladores e carregadores de boot, alertaram os pesquisadores.

Os invasores que exploram esta vulnerabilidade podem obter controle quase total do dispositivo comprometido. A maioria dos laptops, desktops, servidores e estações de trabalho são afetados, bem como dispositivos de rede e outros equipamentos de uso especial usados ​​nos setores industrial, de saúde, financeiro e outros, de acordo com o relatório.

Os pesquisadores avisaram que atenuar essa vulnerabilidade exigirá que o programa vulnerável específico seja assinado e implantado. Eles também alertaram que programas vulneráveis ​​devem ser revogados para evitar que adversários usem versões mais antigas e vulneráveis ​​em um ataque.

Tapar essa falha de vulnerabilidade provavelmente será um processo longo. Levará um tempo considerável para que os departamentos de TI das organizações concluam o patch, disseram os pesquisadores.

A Eclypsium coordenou a divulgação responsável desta vulnerabilidade com uma ampla variedade de entidades da indústria, incluindo fornecedores de sistemas operacionais, fabricantes de computadores e o Computer Emergency Response Team (CERT). Várias dessas organizações estão listadas no relatório e fizeram parte da divulgação coordenada de quarta-feira.

“Esta é provavelmente a vulnerabilidade mais difundida e severa que encontramos no Eclypsium. Muitos dos problemas que encontramos no passado eram específicos de um determinado fornecedor ou modelo, ao passo que esse problema é generalizado. Esta vulnerabilidade na inicialização segura afeta a configuração padrão sobre a maioria dos sistemas implantados na última década, Jesse Michael, principal pesquisador da Eclypsium, disse à TechNewsWorld.

Esta vulnerabilidade foi atribuída a CVE-2020-10713 GRUB2.

Encontrando e corrigindo buracos na bota

Os pesquisadores do Eclypsium descobriram as vulnerabilidades do BootHole por acidente, enquanto faziam algumas explorações rotineiramente proativas, de acordo com Michael.

“Estávamos explorando todos os links fracos em toda a infraestrutura de inicialização segura. Como vimos anteriormente um problema semelhante com a Inicialização segura e o carregador de inicialização Kaspersky, pensamos que deveríamos dar uma olhada mais profunda nessa área. Fizemos alguns ajustes no GRUB2, que é amplamente usado pela maioria das distribuições Linux e encontrou uma vulnerabilidade que acabou sendo muito maior do que esperávamos “, disse ele.

Fuzzing, ou teste de fuzz, é uma técnica de teste de software automatizado para encontrar bugs de software hackeaveis. Os testadores fornecem aleatoriamente diferentes permutações de dados em um programa de destino até que uma dessas permutações revele uma vulnerabilidade.

Os pesquisadores ainda não viram os bandidos explorando essa vulnerabilidade específica em liberdade, observou ele. Mas os agentes de ameaças têm usado bootloaders de interface de firmware extensível unificada (UEFI) maliciosos.

“Esse tipo de ataque foi usado por malware, incluindo limpadores e ransomware, por um longo tempo, e a inicialização segura foi projetada para proteger contra essa técnica. A vulnerabilidade do BootHole torna a maioria dos dispositivos suscetíveis mesmo quando a inicialização segura está ativada. Atores de ameaças anteriores usados violação de malware com carregadores de inicialização de sistema operacional legado, incluindo APT41 Rockboot, LockBit, FIN1 Nemesis, MBR-ONI, Petya / NotPetya e Rovnix “, observou Michael.

O que BootHole faz

Os invasores podem aproveitar o carregador de inicialização GRUB2 que a maioria dos sistemas Linux e computadores Windows usam para obter a execução arbitrária de código durante o processo de inicialização. Isso pode acontecer mesmo quando a inicialização segura está ativada. Os invasores que exploram esta vulnerabilidade podem instalar bootkits persistentes e furtivos ou bootloaders maliciosos que podem dar a eles controle quase total sobre o dispositivo vítima, de acordo com o relatório do Eclypsium.

O que torna essa vulnerabilidade BootHole ainda mais ameaçadora é sua capacidade de afetar os sistemas que usam a inicialização segura, mesmo que não estejam usando o GRUB2. Quase todas as versões assinadas do GRUB2 são vulneráveis. Isso significa que quase todas as distribuições do Linux são afetadas. Além disso, GRUB2 oferece suporte a outros sistemas operacionais, kernels e hipervisores, como o Xen.

Esse problema também se estende a qualquer dispositivo Windows que use a inicialização segura com a autoridade de certificação UEFI de terceiros padrão. Portanto, BootHole afeta a maioria dos laptops, desktops, servidores e estações de trabalho. A vulnerabilidade também ameaça aparelhos de rede e outros equipamentos para fins especiais usados ​​nas indústrias industrial, de saúde, financeira e outras. Essa vulnerabilidade torna esses dispositivos suscetíveis a invasores, como os agentes de ameaças recentemente descobertos usando bootloaders UEFI maliciosos, observaram pesquisadores da Eclypsium.

Se o processo de inicialização segura for comprometido, os invasores podem controlar como o sistema operacional é carregado e subverter todos os controles de segurança de camada superior. Uma pesquisa recente identificou ransomware à solta usando bootloaders EFI maliciosos como uma forma de assumir o controle das máquinas no momento da inicialização. Anteriormente, os agentes de ameaças usavam adulteração de malware com carregadores de inicialização de sistema operacional legado, incluindo APT41 Rockboot, LockBit, FIN1 Nemesis, MBR-ONI, Petya / NotPetya e Rovnix, observou o relatório.

Esquadrão de fuzilamento circular

Os atacantes também podem usar um bootloader vulnerável contra o sistema, acrescentaram os redatores do relatório. Por exemplo, se BootHole encontrar um bootloader válido com uma vulnerabilidade, ele pode substituir um pedaço de malware no bootloader existente do dispositivo pela versão vulnerável.

O bootloader seria permitido pelo Secure Boot e daria ao malware controle completo sobre o sistema e o próprio sistema operacional. Mitigar isso requer um gerenciamento muito ativo do banco de dados dbx usado para identificar código malicioso ou vulnerável.

O processo de inicialização segura tem problemas potenciais com muitos trechos de código. Uma vulnerabilidade em qualquer um deles apresenta um único ponto de falha que pode permitir a um invasor ignorar a inicialização segura, de acordo com o relatório BootHole do Eclypsium.

Além disso, tentar consertar as vulnerabilidades que o BootHole busca pode ser potencialmente mortal para o hardware e software. As atualizações e correções para o processo de inicialização segura podem ser particularmente complexas. A complexidade representa o risco adicional de quebrar as máquinas inadvertidamente.

O processo de inicialização, por natureza, envolve uma variedade de jogadores e componentes, incluindo OEMs de dispositivos, fornecedores de sistemas operacionais e administradores. A natureza fundamental do processo de inicialização torna qualquer tipo de problema ao longo do caminho representa um alto risco de tornar um dispositivo inutilizável. Como resultado, as atualizações para inicialização segura são geralmente lentas e exigem testes extensivos do setor.

Contribuidor de buffer

A vulnerabilidade BootHole é um estouro de buffer que ocorre no GRUB2 ao analisar o arquivo de configuração do grub, de acordo com os pesquisadores do Eclypsium. O arquivo de configuração GRUB2 (grub.cfg) é meramente um arquivo de texto. Normalmente não é assinado como outros arquivos e códigos executáveis.

Essa vulnerabilidade permite a execução arbitrária de código no GRUB2 e, em última análise, o controle sobre a inicialização do sistema operacional. Como resultado, um invasor pode modificar o conteúdo do arquivo de configuração GRUB2 para garantir que o código de ataque seja executado antes que o sistema operacional seja carregado. Dessa forma, os invasores ganham persistência no dispositivo, de acordo com o relatório.

Para realizar tal intrusão, o invasor precisaria de privilégios elevados. Mas isso forneceria ao invasor um poderoso escalonamento adicional de privilégios e persistência no dispositivo. Isso ocorreria com ou sem a inicialização segura ativada e executando corretamente a verificação de assinatura em todos os executáveis ​​carregados.

Esforço de mitigação desafiador

Eclypsium alertou que conectar o BootHole exigirá o lançamento de novos instaladores e bootloaders para todas as versões do Linux e potencialmente do Windows. Os fornecedores terão que lançar novas versões de seus shims de bootloader assinados pela UEFI CA da Microsoft.

Até que todas as versões afetadas sejam adicionadas à lista de revogação dbx, um invasor poderá usar uma versão vulnerável de shim e GRUB2 para atacar o sistema. Isso significa que todos os dispositivos que confiam na UEFI CA de terceiros da Microsoft estarão vulneráveis ​​durante esse período.

O Fórum Unified Extensible Firmware Interface (UEFI) desenvolveu originalmente o Secure Boot como uma forma de proteger o processo de inicialização desses tipos de ataques.

Este arquivo de configuração é um arquivo externo comumente localizado na partição do sistema EFI e, portanto, pode ser modificado por um invasor com privilégios de administrador sem alterar a integridade do shim do fornecedor assinado e dos executáveis ​​do carregador de inicialização GRUB2.

O estouro de buffer permite que o invasor obtenha execução arbitrária de código no ambiente de execução UEFI, que pode ser usado para executar malware, alterar o processo de inicialização, corrigir diretamente o kernel do sistema operacional ou executar qualquer número de outras ações maliciosas.

Esta vulnerabilidade não é específica da arquitetura. Ele está em um caminho de código comum e também foi confirmado usando uma versão ARM64 assinada do GRUB2.

A equipe de segurança da Canonical encontrou vulnerabilidades adicionais relacionadas ao código GRUB2 em resposta ao relatório Eclypsium, observou o relatório Eclypsium. Isso terá um impacto maior no caminho de mitigação.

“Essas vulnerabilidades descobertas pela equipe de segurança da Canonical eram todas de gravidade média. Também havia dezenas de outras vulnerabilidades identificadas por outras organizações que ainda não têm CVEs individuais atribuídos, disse Michael.

O que é necessário para consertar

A mitigação total exigirá esforços coordenados dos projetos de código aberto afetados, da Microsoft e dos proprietários dos sistemas afetados, entre outros. A lista de tarefas para consertar BootHole, de acordo com o relatório, incluirá:

  • Atualizações para GRUB2 para resolver a vulnerabilidade.
  • Distribuições Linux e outros fornecedores que usam GRUB2 precisarão atualizar seus instaladores, bootloaders e shims.
  • Os novos shims precisarão ser assinados pela UEFI CA de terceiros da Microsoft.
  • Os administradores dos dispositivos afetados precisarão atualizar as versões instaladas dos sistemas operacionais em campo, bem como as imagens do instalador, incluindo mídia de recuperação de desastres.
  • Eventualmente, a lista de revogação UEFI (dbx) precisa ser atualizada no firmware de cada sistema afetado para evitar a execução deste código vulnerável durante a inicialização.

Mais Bugaboos Possíveis

A implantação total desse processo de revogação para empresas provavelmente será muito lenta, sugeriram os pesquisadores. As atualizações relacionadas à UEFI têm um histórico de tornar os dispositivos inutilizáveis. Portanto, os fornecedores precisarão ser muito cautelosos para evitar que a solução transforme os computadores em tijolos.

Por exemplo, se a lista de revogação (dbx) for atualizada, o sistema não carregará. Portanto, os fornecedores terão que aplicar atualizações da lista de revogação ao longo do tempo para evitar a interrupção de sistemas que ainda não foram atualizados.

Além disso, existem casos em que a atualização do dbx pode ser difícil. As condições de borda envolvem computadores com configurações de inicialização dupla ou desprovisionadas.

Outras circunstâncias podem complicar ainda mais as coisas. Por exemplo, os processos corporativos de recuperação de desastres podem apresentar problemas em que a mídia de recuperação aprovada não inicializa mais em um sistema se as atualizações dbx tiverem sido aplicadas.

Outra situação é quando uma troca de dispositivo é necessária devido a falha de hardware. Novos sistemas do mesmo modelo podem já ter as atualizações dbx aplicadas e falharão ao tentar inicializar os sistemas operacionais instalados anteriormente. Portanto, antes que as atualizações do dbx sejam enviadas para os sistemas de frota corporativa, a mídia de recuperação e instalação também deve ser atualizada e verificada.

Poucas Soluções Alternativas

Com os terríveis avisos do relatório sobre a obstrução do hardware das correções de inicialização, existem poucas soluções alternativas para evitar que a cura seja pior do que os resultados do ataque. Michael espera que ocorram ataques que tirem vantagem disso, se é que ainda não aconteceram.

“Se ficar sem ação ou mitigação, isso deixará uma lacuna em todos os sistemas afetados”, disse ele. “Pode haver consequências inesperadas para a cura também.”

As atualizações de revogação não são comuns e esta será a maior revogação já feita. Bugs nesta parte raramente usada do firmware podem fazer com que os sistemas se comportem de maneira inesperada após a atualização. Para evitar tais problemas, a revogação não acontecerá automaticamente. “Isso obriga as equipes de segurança a gerenciar cuidadosamente esse problema usando intervenção manual”, alertou Michael.

Soluções alternativas podem precisar ser ajustadas por vários fornecedores para serem eficazes para seus produtos. Vulnerabilidades de bootloader foram encontradas no passado e os fornecedores corrigiram com sucesso, de acordo com Charles King, analista principal da Pund-IT .

Por exemplo, um foi revelado em março que afetava os telefones LG, e em junho a empresa anunciou que havia lançado um patch para telefones que remontava a sete anos.

O que é pior: Meltdown e Spectre ou BootHole?

As vulnerabilidades Meltdown e Spectre de 2019 afetaram a confidencialidade. Eles permitem que um invasor roube segredos.

Essa vulnerabilidade afeta a integridade e a disponibilidade, bem como a confidencialidade. Portanto, BootHole tem potencial para danos muito mais amplos, de acordo com Michael.

Usando a pontuação de gravidade CVSS padrão da indústria, Meltdown e Spectre foram classificados como vulnerabilidades de gravidade Média, e BootHole é classificado como uma vulnerabilidade de gravidade Alta, disse ele.

Enquanto a vulnerabilidade BootHole ocorre no software (firmware do sistema), o Meltdown e o Spectre exploraram as falhas de hardware que foram incorporadas a muitas CPUs. Um grande desafio com o Meltdown e o Spectre é que as correções freqüentemente afetam significativamente o desempenho da CPU, observou King.

“Parece improvável que as correções do BootHole tenham um impacto semelhante no desempenho do sistema ou do dispositivo”, disse ele à TechNewsWorld.

Quanto a qual vulnerabilidade é mais perigosa, é relativo. Só porque existe uma vulnerabilidade, não significa que as pessoas encontrarão uma maneira de explorá-la com eficácia. Embora Meltdown e Spectre tenham atraído muita atenção quando foram revelados há vários anos, ele não viu nenhum relato de exploits de sucesso, disse King.

O que fazer

A maioria dos usuários desejará implantar as atualizações que os fornecedores estão lançando a partir de 29 de julho, sugeriu Michael. Além das atualizações automáticas lançadas pelos fornecedores de sistemas operacionais, uma ação manual será necessária para revogar as versões antigas e vulneráveis ​​do grub.

“Até que isso seja feito, os sistemas permanecerão vulneráveis”, alertou.

As equipes de segurança corporativa também devem considerar a caça de ameaças ou atividades de monitoramento que examinam os bootloaders presentes nos sistemas operacionais, sugeriu Michael. Isso deve revelar quais sistemas têm bootloaders de aparência suspeita e arquivos de configuração grub.

“Considerando a complexidade de implantar essas atualizações em uma empresa, esse monitoramento pode ser uma alternativa importante para ganhar tempo enquanto as atualizações são testadas e implantadas”, concluiu Michael.

O relatório Eclypsium está disponível aqui .


Para obter as últimas notícias Tecnologia, Gamers, Cinema e tutorial , siga o SENASNERD no Twitter FacebookInstagram . Para os vídeos mais recentes sobre -> SENASNERD , Subscreva-se no canal no YouTube .

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo