Backdoors desde el arranque: GRUB2 permite eludir la protección antes de iniciar el sistema

Microsoft informó del descubrimiento de 20 nuevas vulnerabilidades en los cargadores de arranque GRUB2, U-Boot y Barebox. La atención de los investigadores se centró en las etapas iniciales del arranque de los dispositivos, un momento crítico en el que el sistema aún no ha activado sus principales mecanismos de seguridad.

GRUB2 es el cargador de arranque estándar en muchas distribuciones de Linux, incluyendo Ubuntu, mientras que U-Boot y Barebox se utilizan con frecuencia en sistemas IoT y embebidos. Los fallos descubiertos en su código pueden tener consecuencias graves. En GRUB2 se detectaron 11 vulnerabilidades, incluyendo errores en el manejo de sistemas de archivos, tratamiento incorrecto de enlaces simbólicos y deficiencias en las comparaciones criptográficas.

U-Boot y Barebox también se vieron afectados: se encontraron 9 fallos relacionados con desbordamientos de búfer durante el análisis de diferentes tipos de sistemas de archivos. Aunque para su explotación se requiere acceso físico al dispositivo, estas restricciones no eliminan el riesgo de ataques graves. Ya ha habido casos de infección en la etapa de arranque, como el ataque con BlackLotus.

La particularidad de las vulnerabilidades encontradas es su impacto en la seguridad de los mecanismos UEFI Secure Boot. Bajo ciertas condiciones, permiten eludir este nivel de protección y ejecutar código malicioso antes de que se inicie el sistema operativo. Esto abre la puerta a la instalación de malware de arranque y la completa compromisión del sistema.

Microsoft señala específicamente que este tipo de ataques pueden permitir que el software malicioso persista incluso tras formatear el disco o reinstalar el sistema operativo. Los atacantes podrían tomar control del proceso de arranque, insertar un backdoor y utilizar el dispositivo como punto de entrada para una propagación más amplia en la red.

La vulnerabilidad más crítica es CVE-2025-0678 (puntuación CVSS: 7.8), relacionada con un desbordamiento de búfer (Buffer Overflow) al leer archivos Squash4. Las otras 10 vulnerabilidades de GRUB2 se clasifican como de gravedad media. Entre ellas se incluyen errores en el manejo de HFS, UFS, ReiserFS, JFS, RomFS, UDF y otros componentes.

Microsoft destaca que el uso de Security Copilot aceleró el análisis de código al menos una semana en comparación con una revisión manual. Además de identificar las vulnerabilidades, la herramienta también propuso soluciones, lo cual es especialmente valioso para los proyectos open source pequeños.

Dado que algunos fragmentos de código eran comunes entre GRUB2, U-Boot y Barebox, los errores encontrados también se reprodujeron en otros proyectos. Los tres cargadores de arranque publicaron actualizaciones de seguridad en febrero de 2025, y la instalación de las versiones más recientes corrige las vulnerabilidades detectadas.