A Microsoft utilizou o seu Security Copilot, alimentado por IA, para descobrir 20 vulnerabilidades anteriormente desconhecidas nos bootloaders open-source GRUB2, U-Boot e Barebox.
O GRUB2 (GRand Unified Bootloader) é o carregador de inicialização padrão para a maioria das distribuições Linux, incluindo Ubuntu, enquanto U-Boot e Barebox são comumente usados em dispositivos embarcados e IoT.
A Microsoft descobriu onze vulnerabilidades no GRUB2, incluindo overflow de inteiro e de buffer nos analisadores de sistema de arquivos, falhas em comandos e um canal lateral em comparação criptográfica.
Adicionalmente, foram descobertos 9 overflows de buffer na análise de SquashFS, EXT4, CramFS, JFFS2 e symlinks em U-Boot e Barebox, que requerem acesso físico ao dispositivo para serem explorados.
As falhas recém-descobertas impactam dispositivos que dependem do UEFI Secure Boot e, se as condições certas forem atendidas, atacantes podem contornar proteções de segurança para executar código arbitrário no dispositivo.
Embora a exploração dessas falhas provavelmente necessite de acesso local aos dispositivos, ataques de bootkit anteriores como o BlackLotus alcançaram isso através de infecções por malware.
"Embora os atores de ameaças provavelmente necessitem de acesso físico ao dispositivo para explorar as vulnerabilidades do U-boot ou Barebox, no caso do GRUB2, as vulnerabilidades poderiam ainda ser exploradas para contornar o Secure Boot e instalar bootkits furtivos ou, potencialmente, contornar outros mecanismos de segurança, como o BitLocker", explica a Microsoft.
As implicações da instalação de tais bootkits são significativas, pois isso pode conceder aos atores de ameaças controle total sobre o dispositivo, permitindo-lhes controlar o processo de inicialização e o sistema operacional, comprometer dispositivos adicionais na rede e perseguir outras atividades maliciosas.
Além disso, isso poderia resultar em malware persistente que permanece intacto mesmo após uma reinstalação do sistema operacional ou a substituição de um disco rígido.
Abaixo está um resumo das falhas que a Microsoft descobriu no GRUB2:
-
CVE-2024-56737
– Overflow de buffer na montagem do sistema de arquivos HFS devido ao uso inseguro de strcpy em uma string não terminada em nulo;
-
CVE-2024-56738
– Ataque de canal lateral em função de comparação criptográfica (grub_crypto_memcmp não em tempo constante);
-
CVE-2025-0677
– Overflow de inteiro no manuseio de link simbólico UFS leva a overflow de buffer;
-
CVE-2025-0678
– Overflow de inteiro na leitura de arquivo Squash4 leva a overflow de buffer;
-
CVE-2025-0684
– Overflow de inteiro no manuseio de link simbólico ReiserFS leva a overflow de buffer;
-
CVE-2025-0685
– Overflow de inteiro no manuseio de link simbólico JFS leva a overflow de buffer;
-
CVE-2025-0686
– Overflow de inteiro no manuseio de link simbólico RomFS leva a overflow de buffer;
-
CVE-2025-0689
– Leitura fora dos limites no processamento de bloco UDF;
-
CVE-2025-0690
– Overflow de inteiro assinado e escrita fora dos limites no comando de leitura (manipulador de entrada de teclado);
-
CVE-2025-1118
– O comando dump permite a leitura arbitrária de memória (deveria ser desativado na produção);
-
CVE-2025-1125
– Overflow de inteiro na abertura de arquivo comprimido HFS causa overflow de buffer.
Todas as falhas acima são classificadas como de gravidade média, exceto o
CVE-2025-0678
, que é classificado como "alto" (pontuação CVSS v3.1: 7.8).
A Microsoft afirma que o Security Copilot acelerou dramaticamente o processo de descoberta de vulnerabilidades em uma base de código grande e complexa, como o GRUB2, economizando aproximadamente 1 semana de tempo que seria necessário para análise manual.
Não apenas a ferramenta de IA identificou as falhas anteriormente desconhecidas, mas também forneceu recomendações de mitigação direcionadas que poderiam fornecer indicações e acelerar a emissão de patches de segurança, especialmente em projetos open-source apoiados por colaboradores voluntários e pequenas equipes centrais.
Usando as descobertas na análise, a Microsoft diz que o Security Copilot encontrou bugs similares em projetos que utilizam código compartilhado com o GRUB2, como U-boot e Barebox.
GRUB2, U-boot e Barebox lançaram atualizações de segurança para as vulnerabilidades em fevereiro de 2025, então, atualizar para as versões mais recentes deverá mitigar as falhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...