• IT-Karriere:
  • Services:

Grub 2: Boothole ermöglicht Umgehung von Secure Boot

Der Fehler in dem Bootloader Grub ermöglicht damit ein dauerhaftes Bootkit. Ein komplettes Update wird aber schwierig und dauert.

Artikel veröffentlicht am ,
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen.
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen. (Bild: Eclypsium)

Ein Team des Sicherheitsunternehmens Eclypsium hat eine Sicherheitslücke (CVE-2020-10713) in dem freien und sehr weit verbreiteten Bootloader Grub 2 entdeckt. Die Lücke wird auch als Boothole bezeichnet, denn sie kann dazu genutzt werden, die Sicherheitsvorkehrungen von UEFI Secure Boot zu umgehen und eigenen Code in einem sogenannten Bootkit auszuführen. Mit Hilfe von Secure Boot soll genau dieses Angriffsszenario eigentlich verhindert werden.

Stellenmarkt
  1. Landkreis Dahme-Spreewald, Lübben, Königs Wusterhausen
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe, Köln, Stuttgart

Bei dem Fehler selbst handelt es sich um einen Buffer-Overflow in der Art und Weise, wie die Konfigurationsdatei (Grub2.cfg) von der Anwendung selbst verarbeitet wird. Die Lücke ermöglicht es, Code in dem Bootloader selbst auszuführen, und somit theoretisch eine volle Kontrolle darüber, welches System gestartet werden soll.

Mit der Möglichkeit, dabei auch die Konfigurationsdatei selbst so zu ändern, dass Code einfach immer vor dem Start des Betriebssystems ausgeführt wird, lässt sich Schadcode dauerhaft auf einem System einschleusen. Für einen erfolgreichen Angriff braucht es Root- beziehungsweise Administrationsrechte, um die Grub2.cfg-Datei verändern zu können.

Secure Boot umgehbar

Bei der Secure-Boot-Technik werden Bootloader und Betriebssysteme kryptografisch signiert. Beim Start werden diese Signaturen dann mit Schlüsseln einer Datenbank in der Firmware des Rechners verglichen. Gelingt die Verifikation, startet auch das System selbst. Gelingt dies nicht, etwa weil die Schlüssel zurückgezogen worden sind, soll Secure Boot den Systemstart eigentlich verhindern. Doch eben dieser Verifikationsmechanismus lässt sich nun mit Boothole umgehen.

Golem Akademie
  1. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
  2. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Damit nicht jeder Linux-Distributor mit jedem Hersteller einzeln über das Hinterlegen von Schlüsseln und Zertifikaten verhandeln muss, hatten sich die Beteiligten vor Jahren darauf geeinigt, dass Microsoft als zentrale Certificate Authority (CA) von Dritten für Secure Boot genutzt werden kann. Nahezu alle derzeit verbreiteten Versionen von Betriebssystemen mit dem Bootloader Grub sind von dieser CA signiert. Das führt zu einem eigenartigen Problem in Bezug auf Updates für die Lücke.

Zwar lässt sich die Boothole-Lücke selbst vergleichsweise einfach beheben und entsprechende Updates mit einer neuen Signatur verteilen. Darüber hinaus muss aber die Datenbank der Rechner zur Überprüfung der Verifikation aktualisiert werden und die bisher genutzten Zertifikate müssen zurückgezogen werden, damit angreifbare Grub2-Versionen, die zuvor signiert worden sind, künftig nicht mehr für Angriffe genutzt werden können. Wird beides aber in der falschen Reihenfolge ausgeführt, führt dies unter Umständen zu einem nicht mehr startbaren System.

Koordinierte Updates

Die beteiligten Linux-Distributoren, weitere Grub-Nutzer, Microsoft oder auch das UEFI Forum koordinieren derzeit das weitere Vorgehen. So steht etwa bereits eine aktualisierte Revocation List mit zurückgezogenen Zertifikaten des UEFI Forums bereit. Microsoft selbst empfiehlt für Windows sowie für seine eigenen Geräte zunächst, der Microsoft CA für Dritte das Vertrauen zu entziehen, sofern die eigene Firmware dies erlaubt.

Das Update des gesamten betroffenen Ökosystems ist wohl sehr aufwändig und wird einige Zeit in Anspruch nehmen. Damit Derartiges nicht bald wieder geschehen muss, haben die beteiligten Distributoren und Sicherheitsunternehmen in einer großangelegten Aktion nach weiteren Fehlern in Grub 2 gesucht, die ähnliche Angriffe ermöglichen, und haben eine Vielzahl davon schließlich auch gefunden.

Dazu gehören laut der Linux-Distribution Debian auch Fehler im Umgang mit ACPI-Tabellen durch den Linux-Kernel. Details finden sich bei den einzelnen Herstellern und Distributoren wie Debian, Canonical, Red Hat, Suse, HP, HPE oder VMware.

Nachtrag vom 31. Juli 2020, 9:00 Uhr

Im Bugtracker von Red Hat finden sich inzwischen zahlreiche Berichte, dass die zur Verfügung stehende Updates unter Umständen dazu führen, dass Rechner nicht mehr starten. Dies scheint unabhängig von der Nutzung von Secure Boot zu sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 3,90€
  2. 2,99€
  3. 36,99€
  4. (u. a. Abzu, The Witness, Subnautica)

Freddy1404 31. Jul 2020

(IMHO) Signiert wird alles, grub, kernel und shim. shim dient hier als first-stage...

Rabbit 31. Jul 2020

Ich geb dir recht, dass mit Verlust der physischen Kontrolle über ein Gerät eigentlich...

ElMario 30. Jul 2020

...klingt Buffer Overflow immer so Retro. :)


Folgen Sie uns
       


Gocycle GX - Test

Das Gocycle GX hat einen recht speziellen Pedelec-Sound, aber dafür viele Vorteile.

Gocycle GX - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /