Eclypsium, società specializzata in soluzioni di sicurezza aziendali, ha rivelato una nuova e assai grave vulnerabilità, chiamata BootHole, che consente agli aggressori di ottenere il controllo quasi totale dei sistemi operativi sia Windows che Linux. Secondo i dati sarebbero miliardi i dispositivi siano vulnerabili, dai notebook ai computer desktop, fino ad altri tipi di dispositivi, come attrezzature specializzate per i settori industriali e sanitari.
L’attacco espone una vulnerabilità nel framework UEFI Secure Boot che normalmente impedisce l’accesso non autorizzato al sistema durante l’avvio. Compromettendo Secure Boot, gli aggressori possono quindi utilizzare bootloader UEFI modificati per ottenere accesso e controllo completo del sistema. Fortunatamente, questo attacco richiede privilegi di alto livello per la sua riuscita. Una volta compromesso, il sistema sembra funzionare normalmente anche se il malware ha accesso completo al sistema e al sistema operativo. Inoltre il codice dannoso risiede nel bootloader e pertanto persisterà anche dopo aver eseguito un comune antivirus o reinstallato il sistema operativo.
Come spiegazione di base, l’attacco BootHole sfrutta una vulnerabilità di buffer overflow nel file di configurazione di GRUB2, che è un file di testo non protetto come altri file ed eseguibili. Ciò consente l’esecuzione arbitraria di codice all’interno di GRUB2 e permette quindi all’utente malintenzionato di inserire bootloader dannosi che consentono agli autori degli attacchi di accedere al sistema.
L’annuncio fa parte di una divulgazione coordinata con venditori di sistemi operativi, produttori di computer e CERT, molti dei quali, secondo Eclypsium, pubblicheranno singoli annunci oggi. Tre le aziende troviamo Microsoft, Oracle, Red Hat, Canonical (Ubuntu), SuSE, Debian, Citrix, VMware ed una serie di vari OEM e fornitori di software. La società prevede che la vulnerabilità richiederà del tempo prima di essere corretta su tutti i sistemi tramite patch.