El hallazgo de 20 fallos en bootloaders de código abierto pone en evidencia riesgos sistémicos para Secure Boot y dispositivos IoT.
Microsoft ha anunciado el descubrimiento de 20 vulnerabilidades críticas en tres de los bootloaders más usados del ecosistema de software libre: GRUB2, U-Boot y Barebox. El hallazgo ha sido posible gracias al uso de Security Copilot, su plataforma de inteligencia artificial orientada a acelerar la detección de vulnerabilidades complejas en bases de código extensas.
GRUB2 —el cargador de arranque por defecto en la mayoría de las distribuciones Linux modernas— ha sido el más afectado, con 11 vulnerabilidades que incluyen desbordamientos de búfer, errores de enteros y ataques de canal lateral en funciones criptográficas. U-Boot y Barebox, utilizados ampliamente en sistemas embebidos y dispositivos IoT, acumulan 9 fallos adicionales, también vinculados a errores en el manejo de sistemas de archivos y enlaces simbólicos.
Entre los fallos más destacados se encuentran:
- CVE-2025-0678: Desbordamiento de búfer en SquashFS debido a un integer overflow.
- CVE-2024-56738: Vulnerabilidad de canal lateral por comparación criptográfica no constante.
- CVE-2025-1125: Buffer overflow en la apertura de archivos comprimidos en HFS.
- CVE-2025-0690: Desbordamiento de enteros en comandos de lectura de teclado.
- CVE-2025-26721 a CVE-2025-26729: Fallos diversos en U-Boot y Barebox en el manejo de EXT4, CramFS, JFFS2 y EroFS.
Si bien muchas de estas vulnerabilidades requieren acceso físico al dispositivo, algunas —especialmente las de GRUB2— podrían explotarse para burlar Secure Boot, facilitando la instalación de bootkits persistentes y malware de bajo nivel con privilegios totales, incluso tras reinstalaciones del sistema operativo. Esto representa un riesgo sistémico en entornos donde la seguridad del arranque es crítica, como servidores, centros de datos, infraestructuras industriales o dispositivos conectados.
Una IA para cazadores de bugs
La detección de estos fallos no se ha producido por métodos tradicionales. Microsoft utilizó Security Copilot, su copiloto de IA entrenado específicamente en tareas de seguridad ofensiva y defensiva, para analizar de forma automatizada partes sensibles del código fuente de GRUB2. La IA logró identificar funciones propensas a errores (como parsers de sistemas de archivos o funciones criptográficas), sugiriendo puntos de entrada y mitigaciones en cada caso.
Este proceso automatizado permitió acortar en una semana el tiempo habitual requerido para este tipo de auditorías, según ha informado la propia compañía.
Reacción coordinada de la comunidad open source
Tras la identificación, Microsoft colaboró directamente con los mantenedores de los proyectos afectados para llevar a cabo una divulgación responsable. Las actualizaciones de seguridad ya han sido publicadas por los equipos de GRUB2 (18 de febrero de 2025), y de U-Boot y Barebox (19 de febrero de 2025). En el caso de GRUB2, se han actualizado entradas en la base SBAT (Secure Boot Advanced Targeting) y DBX para reforzar la gestión de revocación de componentes comprometidos.
Además, se han desactivado módulos potencialmente peligrosos cuando Secure Boot está habilitado, y se han reforzado controles criptográficos y de memoria en la lógica del cargador de arranque.
¿Un antes y un después en la seguridad del arranque?
El informe de Microsoft resalta un problema más profundo: el reciclaje de código vulnerable entre distintos bootloaders de código abierto, práctica que podría amplificar el riesgo a escala global. La falta de funciones de seguridad modernas en estos componentes —como ASLR, stack canaries o protección NX— combinada con el uso de lenguajes propensos a errores de memoria como C, agrava el impacto potencial de estos fallos.
Este episodio subraya la importancia de incorporar herramientas de inteligencia artificial en los flujos de trabajo de seguridad y mantenimiento de proyectos críticos, especialmente aquellos con recursos limitados.
Fuente: Microsoft Security Blog y Noticias de seguridad
