Una grave falla nel bootloader Shim Linux è stata scoperta, consentendo agli attaccanti di eseguire codice e prendere il controllo dei sistemi di destinazione prima del caricamento del kernel, bypassando le misure di sicurezza esistenti.
Shim è un piccolo bootloader open source sviluppato da Red Hat, progettato per agevolare il processo di avvio sicuro su computer che utilizzano Unified Extensible Firmware Interface (UEFI).
Questo strumento è firmato con una chiave Microsoft, generalmente accettata di default sulla maggior parte delle schede madri UEFI, e viene utilizzato per verificare la successiva fase di avvio, solitamente caricando il bootloader GRUB2.
Creato per permettere ai progetti open source come le distribuzioni Linux di beneficiare del Secure Boot, Shim è essenziale per prevenire l’esecuzione di codice non autorizzato o dannoso durante l’avvio, mantenendo al contempo il controllo sull’hardware.
La nuova vulnerabilità di Shim, identificata come CVE-2023-40547, è stata scoperta da Bill Demirkapi, un ricercatore di sicurezza di Microsoft, che l’ha resa nota il 24 gennaio 2024.
Il bug risiede nel sorgente httpboot.c di Shim, utilizzato per avviare un’immagine di rete tramite HTTP.
“Quando si recuperano file tramite HTTP o protocolli correlati, shim tenta di allocare un buffer per archiviare i dati ricevuti… Sfortunatamente, questo significa ottenere la dimensione da un’intestazione HTTP, che può essere manipolata per specificare una dimensione inferiore a quella dei dati ricevuti.” Dice il commit per correggere il bug in httpboot.c.
Questo porta a un’allocazione errata e una scrittura fuori dai limiti, consentendo agli aggressori di eseguire codice prima del caricamento del sistema operativo, bypassando i meccanismi di sicurezza implementati dal kernel e dal sistema operativo.
Il 2 febbraio 2024, Eclypsium ha reso disponibili ulteriori dettagli sulla vulnerabilità, evidenziando che ci sono vari modi in cui CVE-2023-40547 potrebbe essere sfruttato, inclusi attacchi man-in-the-middle (MiTM), modifiche locali delle variabili EFI, e utilizzo di PXE per caricare un bootloader Shim compromesso.
Impatto e soluzioni
RedHat ha rilasciato un codice per correggere CVE-2023-40547 il 5 dicembre 2023, ma le distribuzioni Linux che utilizzano Shim devono ancora pubblicare le proprie patch.
Le distribuzioni Linux che utilizzano Shim, come Red Hat, Debian, Ubuntu e SUSE, hanno rilasciato avvisi con informazioni sul difetto.
Si consiglia agli utenti di aggiornare a Shim versione 15.8, che contiene la correzione per CVE-2023-40547 e altre vulnerabilità.
Inoltre, Eclypsium suggerisce agli utenti Linux di aggiornare l’UEFI Secure Boot DBX per includere gli hash del software Shim vulnerabile e firmare la versione patchata con una chiave Microsoft valida. Per fare ciò, esegui prima l’aggiornamento a Shim 15.8 e quindi applica l’aggiornamento DBX utilizzando il comando ‘fwupdmgr update’ (è necessario fwupd).
Alcune distribuzioni Linux offrono strumenti GUI per eseguire questo aggiornamento.
Nonostante non sia probabile che CVE-2023-40547 venga sfruttato su larga scala, è importante prendere sul serio questa vulnerabilità, poiché l’esecuzione del codice prima del caricamento del sistema operativo rappresenta una grave minaccia per la sicurezza del sistema.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!