El defecto o vulnerabilidad en el cargador de arranque permite a los hackers modificar entradas protegidas por contraseña y desplegar software malicioso.
Las investigaciones han establecido que, al pulsar la tecla de retroceso 28 veces se puede saltar la protección de la contraseña del gestor de arranque Grub2 y permitir que un hacker instale malware en un sistema Linux bloqueado.
GRUB – que significa Gestor de Arranque de Grand Unified por sus siglas en inglés – es utilizado por la mayoría de las distribuciones de Linux para arrancar el sistema operativo cuando se inicia el equipo.
Tiene una función de contraseña que puede restringir el acceso a las entradas de arranque, por ejemplo, en ordenadores con varios sistemas operativos instalados.
Esta protección es particularmente importante dentro de las organizaciones, donde también es común su uso para deshabilitar las opciones de CD-ROM, USB, así como el arranque y la configuración de la contraseña de red para el firmware del BIOS / UEFI con el fin de proteger los equipos de atacantes que puedan tener acceso físico a las máquinas.
Sin estas opciones de arranque asegurado, los atacantes o los empleados maliciosos simplemente podría arrancar desde un sistema operativo alternativo – como una instalación de Linux en vivo almacenado en una unidad USB o CD / DVD – y acceder a archivos en el disco duro de una computadora.
Actualizar grub2
Hector Marco e Ismael Ripoll, dos investigadores del Grupo de Seguridad Cibernética de la Universitat Politècnica de València, encontraron una vulnerabilidad de desbordamiento de enteros en Grub2 que puede activarse pulsando la tecla de retroceso clave 28 veces cuando el gestor de arranque pide el nombre de usuario.
Dependiendo de ciertas condiciones, esto puede causar que la máquina se reinicie o puede poner Grub en modo de rescate, lo cual proporciona acceso autenticado a una shell de gran alcance.
El atacante puede volver a Grub su modo de funcionamiento normal y tener pleno acceso para editar las entradas de arranque debido a que la comprobación de autenticación ya no se lleva a cabo.
“Cuando cualquier usuario ejecuta un programa que ha sido modificado por los hackers explotando la vulnerabilidad, una shell inversa será invocada. En ese momento todos los datos del usuario se descifran, lo que permite robar todo tipo de información del usuario”, explicaron los investigadores en un detallado relato de su hazaña que presentaron la semana pasada en la Conferencia STIC CCN-CERT, en Madrid.
La vulnerabilidad, que se rastreó como CVE-2.015 a 8.370, afecta a todas las versiones de Grub2 de 1.98, lanzado en diciembre de 2009, hasta el actual 2,02. Ubuntu, Red Hat, Debian y probablemente otras distribuciones.
Ya se han lanzado parches para este defecto. Se recomienda a los usuarios instalar las actualizaciones que reciben por el paquete grub2 tan pronto como sea posible.
1 comentario