Grub 2: Boothole ermöglicht Umgehung von Secure Boot

Der Fehler in dem Bootloader Grub ermöglicht damit ein dauerhaftes Bootkit. Ein komplettes Update wird aber schwierig und dauert.

Artikel veröffentlicht am ,
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen.
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen. (Bild: Eclypsium)

Ein Team des Sicherheitsunternehmens Eclypsium hat eine Sicherheitslücke (CVE-2020-10713) in dem freien und sehr weit verbreiteten Bootloader Grub 2 entdeckt. Die Lücke wird auch als Boothole bezeichnet, denn sie kann dazu genutzt werden, die Sicherheitsvorkehrungen von UEFI Secure Boot zu umgehen und eigenen Code in einem sogenannten Bootkit auszuführen. Mit Hilfe von Secure Boot soll genau dieses Angriffsszenario eigentlich verhindert werden.

Stellenmarkt
  1. Referatsleitung (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. IT-Professional (m/w/d) - Systemverwaltung
    Polizeipräsidium Oberbayern Süd, Rosenheim
Detailsuche

Bei dem Fehler selbst handelt es sich um einen Buffer-Overflow in der Art und Weise, wie die Konfigurationsdatei (Grub2.cfg) von der Anwendung selbst verarbeitet wird. Die Lücke ermöglicht es, Code in dem Bootloader selbst auszuführen, und somit theoretisch eine volle Kontrolle darüber, welches System gestartet werden soll.

Mit der Möglichkeit, dabei auch die Konfigurationsdatei selbst so zu ändern, dass Code einfach immer vor dem Start des Betriebssystems ausgeführt wird, lässt sich Schadcode dauerhaft auf einem System einschleusen. Für einen erfolgreichen Angriff braucht es Root- beziehungsweise Administrationsrechte, um die Grub2.cfg-Datei verändern zu können.

Secure Boot umgehbar

Bei der Secure-Boot-Technik werden Bootloader und Betriebssysteme kryptografisch signiert. Beim Start werden diese Signaturen dann mit Schlüsseln einer Datenbank in der Firmware des Rechners verglichen. Gelingt die Verifikation, startet auch das System selbst. Gelingt dies nicht, etwa weil die Schlüssel zurückgezogen worden sind, soll Secure Boot den Systemstart eigentlich verhindern. Doch eben dieser Verifikationsmechanismus lässt sich nun mit Boothole umgehen.

Golem Akademie
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Damit nicht jeder Linux-Distributor mit jedem Hersteller einzeln über das Hinterlegen von Schlüsseln und Zertifikaten verhandeln muss, hatten sich die Beteiligten vor Jahren darauf geeinigt, dass Microsoft als zentrale Certificate Authority (CA) von Dritten für Secure Boot genutzt werden kann. Nahezu alle derzeit verbreiteten Versionen von Betriebssystemen mit dem Bootloader Grub sind von dieser CA signiert. Das führt zu einem eigenartigen Problem in Bezug auf Updates für die Lücke.

Zwar lässt sich die Boothole-Lücke selbst vergleichsweise einfach beheben und entsprechende Updates mit einer neuen Signatur verteilen. Darüber hinaus muss aber die Datenbank der Rechner zur Überprüfung der Verifikation aktualisiert werden und die bisher genutzten Zertifikate müssen zurückgezogen werden, damit angreifbare Grub2-Versionen, die zuvor signiert worden sind, künftig nicht mehr für Angriffe genutzt werden können. Wird beides aber in der falschen Reihenfolge ausgeführt, führt dies unter Umständen zu einem nicht mehr startbaren System.

Koordinierte Updates

Die beteiligten Linux-Distributoren, weitere Grub-Nutzer, Microsoft oder auch das UEFI Forum koordinieren derzeit das weitere Vorgehen. So steht etwa bereits eine aktualisierte Revocation List mit zurückgezogenen Zertifikaten des UEFI Forums bereit. Microsoft selbst empfiehlt für Windows sowie für seine eigenen Geräte zunächst, der Microsoft CA für Dritte das Vertrauen zu entziehen, sofern die eigene Firmware dies erlaubt.

Das Update des gesamten betroffenen Ökosystems ist wohl sehr aufwändig und wird einige Zeit in Anspruch nehmen. Damit Derartiges nicht bald wieder geschehen muss, haben die beteiligten Distributoren und Sicherheitsunternehmen in einer großangelegten Aktion nach weiteren Fehlern in Grub 2 gesucht, die ähnliche Angriffe ermöglichen, und haben eine Vielzahl davon schließlich auch gefunden.

Dazu gehören laut der Linux-Distribution Debian auch Fehler im Umgang mit ACPI-Tabellen durch den Linux-Kernel. Details finden sich bei den einzelnen Herstellern und Distributoren wie Debian, Canonical, Red Hat, Suse, HP, HPE oder VMware.

Nachtrag vom 31. Juli 2020, 9:00 Uhr

Im Bugtracker von Red Hat finden sich inzwischen zahlreiche Berichte, dass die zur Verfügung stehende Updates unter Umständen dazu führen, dass Rechner nicht mehr starten. Dies scheint unabhängig von der Nutzung von Secure Boot zu sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Freddy1404 31. Jul 2020

(IMHO) Signiert wird alles, grub, kernel und shim. shim dient hier als first-stage...

Rabbit 31. Jul 2020

Ich geb dir recht, dass mit Verlust der physischen Kontrolle über ein Gerät eigentlich...

ElMario 30. Jul 2020

...klingt Buffer Overflow immer so Retro. :)



Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Funklochamt: Erstes Förderprojekt der MIG in Scheuers Wahlkreis
    Funklochamt
    Erstes Förderprojekt der MIG in Scheuers Wahlkreis

    Das Funklochamt MIG hat endlich ein Förderprojekt gefunden. Es ist ein besonderer Ort für Bundesverkehrsminister Andreas Scheuer.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /