Nada de estranho, zero dramas ... Mas outro foi descoberto vulnerabilidade, CVE-2020-10713, que afeta o carregador de inicialização GRUB2 e a inicialização segura. Uma publicação da equipe de pesquisa do Eclypsium é o que está por trás dessa descoberta e que eles chamaram de BootHole. Até a Microsoft publicou uma entrada em seu portal de segurança alertando sobre isso e alegando que há uma solução complicada no momento.
Buraco de inicialização É uma vulnerabilidade de estouro de buffer que afeta bilhões de dispositivos com GRUB2 e até mesmo outros sem GRUB2 que usam inicialização segura, como o Windows. Na classificação do sistema CVSS, foi pontuado como 8.2 em 10, o que significa que é de alto risco. E é que um invasor pode tirar vantagem disso para ser capaz de executar código arbitrário (incluindo malware) introduzido durante o processo de inicialização, mesmo com a inicialização segura ativada.
assim dispositivos redes, servidores, estações de trabalho, desktops e laptops, bem como outros dispositivos, como SBCs, determinados dispositivos móveis, dispositivos IoT, etc., seriam afetados.
Além disso, de acordo com Eclypsium, será complicado de mitigar e levará algum tempo para encontrar uma solução. Isso exigirá uma análise profunda dos bootloaders e os fornecedores devem lançar novas versões de bootloaders assinados pela UEFI CA. Serão necessários esforços coordenados entre os desenvolvedores da comunidade colaborativa e de código aberto da Microsoft e outros proprietários de sistemas afetados para derrubar o BootHole.
Na verdade, eles fizeram um lista de tarefas para consertar BootHole no GRUB2 e você precisa:
- Patch para atualizar o GRUB2 e eliminar a vulnerabilidade.
- Que os desenvolvedores de distribuições Linux e outros fornecedores liberem as atualizações para seus usuários. Tanto no nível de GRUB2, instaladores e calços.
- Os novos shims devem ser assinados pela Microsoft UEFI CA para terceiros.
- Os administradores de sistemas operacionais obviamente terão que atualizar. Mas deve incluir o sistema instalado, as imagens do instalador e também a mídia de recuperação ou inicializável que eles criaram.
- A Lista de revogação UEFI (dbx) também precisará ser atualizada no firmware de cada sistema afetado para evitar a execução de código durante a inicialização.
O pior é que quando se trata de firmware tem que ter cuidado para não acabar com problemas e que os computadores fiquem no modo tijolo.
No momento, empresas como Red Hat, HP, Debian, SUSE, Canonical, Oracle, Microsoft, VMWare, Citrix, UEFI Security Response Team e OEMs, bem como fornecedores de software, eles já estão trabalhando para resolver isso. No entanto, teremos que esperar para ver os primeiros patches.
ATUALIZAÇÃO
Mas subestimar a eficácia dos desenvolvedores e da comunidade seria estúpido. Já existem vários candidatos a patch para mitigar que vêm de empresas como Red Hat, Canonical, etc. Eles sinalizaram esse problema como prioridade máxima e está valendo a pena.
O problema? O problema é que esses patches estão causando problemas adicionais. Isso me lembra o que aconteceu com os adesivos Metldown e Spectre, que às vezes o remédio é pior do que a doença ...