BootHole, la vulnerabilità che impatta Secure Boot (e GRUB2)

La notizia della vulnerabilità, denominata BootHole, è stata appena resa nota da Eclypsium, società che si occupa di sicurezza informatica, e riguarderebbe tutti i sistemi che utilizzano Secure Boot… praticamente tutti i sistemi dal 2009 in poi.

UEFI, il successore del BIOS, richiede che un bootloader sia firmato da una CA per poter essere avviato. Se non trova corrispondenza tra quelle presenti nel database e validate, ne impedisce l’avvio. Tutto questo per evitare che qualche “bootkit” si riesca ad installare nella memoria fisica della scheda madre riuscendo a sopravvivere a qualunque tipo di wipe del disco.

Anche GRUB2 ha dovuto adeguarsi a Secure Boot seppur in in maniera un po’ diversa: considerando le incompatibilità di licenza tra i progetti open-source e quelli di terze parti, si utilizza shim. Questo loader contiene una CA self-signed che viene validata dalla CA di Microsoft e che, se tutto va bene, consente l’avvio del bootloader.

Sulla carta sembrerebbe piuttosto difficile compromettere un sistema simile anche perché richiederebbe privilegi elevati ma secondo Eclypsium non è così complesso visto che l’OS e suoi componenti sono pieni di bug per la “privilege escalation

La vulnerabilità in questione attacca uno specifico file di GRUB2, il grub.cfg. Con una piccola modifica a questo file, si può scatenare un buffer overlflow ad ogni avvio del sistema ed usarlo poi per intaccare altre opzioni del grub.cfg eseguendo comandi malevoli all’interno dello stesso GRUB2.

La cosa più ovvia anche ai meno esperti è che essere vittima di un attacco simile vorrebbe dire ritrovarsi sicuramente con un bootloader non più legittimo… e senza averne il minimo sospetto.

E Secure Boot che fa? [semi cit.] Assolutamente nulla perché il grub.cfg non è firmato, così come molte altre componenti di GRUB2.

La conclusione non è delle migliori: al momento oltre 80 shim soffrono di questo problema (potremmo dire quasi tutte le ditribuzioni) ed anche tutti i sistemi che utilizzano Secure Boot con la CA standard UEFI di Microsoft.

Praticamente anche il tostapane è vulnerabile, figuriamoci una workstation.

Tutti i maggiori vendor di software ed hardware sono stati avvisati, tutti stanno correndo ai ripari e le patch (mitigation) dovrebbero arrivare a brevissimo.

Bene ma non benissimo per una cosa che si fa chiamare Secure Boot… ma si può sempre imparare e migliorare!

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un'opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l'ho scritto io.

Tags: , ,