Grub 2: Boothole ermöglicht Umgehung von Secure Boot

Der Fehler in dem Bootloader Grub ermöglicht damit ein dauerhaftes Bootkit. Ein komplettes Update wird aber schwierig und dauert.

Artikel veröffentlicht am ,
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen.
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen. (Bild: Eclypsium)

Ein Team des Sicherheitsunternehmens Eclypsium hat eine Sicherheitslücke (CVE-2020-10713) in dem freien und sehr weit verbreiteten Bootloader Grub 2 entdeckt. Die Lücke wird auch als Boothole bezeichnet, denn sie kann dazu genutzt werden, die Sicherheitsvorkehrungen von UEFI Secure Boot zu umgehen und eigenen Code in einem sogenannten Bootkit auszuführen. Mit Hilfe von Secure Boot soll genau dieses Angriffsszenario eigentlich verhindert werden.

Stellenmarkt
  1. Business Analyst / Process Designer (f/m/d)
    NEXPLORE Technology GmbH, Essen
  2. Consultant Networking Security (w/m/d)
    ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn
Detailsuche

Bei dem Fehler selbst handelt es sich um einen Buffer-Overflow in der Art und Weise, wie die Konfigurationsdatei (Grub2.cfg) von der Anwendung selbst verarbeitet wird. Die Lücke ermöglicht es, Code in dem Bootloader selbst auszuführen, und somit theoretisch eine volle Kontrolle darüber, welches System gestartet werden soll.

Mit der Möglichkeit, dabei auch die Konfigurationsdatei selbst so zu ändern, dass Code einfach immer vor dem Start des Betriebssystems ausgeführt wird, lässt sich Schadcode dauerhaft auf einem System einschleusen. Für einen erfolgreichen Angriff braucht es Root- beziehungsweise Administrationsrechte, um die Grub2.cfg-Datei verändern zu können.

Secure Boot umgehbar

Bei der Secure-Boot-Technik werden Bootloader und Betriebssysteme kryptografisch signiert. Beim Start werden diese Signaturen dann mit Schlüsseln einer Datenbank in der Firmware des Rechners verglichen. Gelingt die Verifikation, startet auch das System selbst. Gelingt dies nicht, etwa weil die Schlüssel zurückgezogen worden sind, soll Secure Boot den Systemstart eigentlich verhindern. Doch eben dieser Verifikationsmechanismus lässt sich nun mit Boothole umgehen.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    16.-18.01.2023, virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    30.01.-03.02.2023, Virtuell
Weitere IT-Trainings

Damit nicht jeder Linux-Distributor mit jedem Hersteller einzeln über das Hinterlegen von Schlüsseln und Zertifikaten verhandeln muss, hatten sich die Beteiligten vor Jahren darauf geeinigt, dass Microsoft als zentrale Certificate Authority (CA) von Dritten für Secure Boot genutzt werden kann. Nahezu alle derzeit verbreiteten Versionen von Betriebssystemen mit dem Bootloader Grub sind von dieser CA signiert. Das führt zu einem eigenartigen Problem in Bezug auf Updates für die Lücke.

Zwar lässt sich die Boothole-Lücke selbst vergleichsweise einfach beheben und entsprechende Updates mit einer neuen Signatur verteilen. Darüber hinaus muss aber die Datenbank der Rechner zur Überprüfung der Verifikation aktualisiert werden und die bisher genutzten Zertifikate müssen zurückgezogen werden, damit angreifbare Grub2-Versionen, die zuvor signiert worden sind, künftig nicht mehr für Angriffe genutzt werden können. Wird beides aber in der falschen Reihenfolge ausgeführt, führt dies unter Umständen zu einem nicht mehr startbaren System.

Koordinierte Updates

Die beteiligten Linux-Distributoren, weitere Grub-Nutzer, Microsoft oder auch das UEFI Forum koordinieren derzeit das weitere Vorgehen. So steht etwa bereits eine aktualisierte Revocation List mit zurückgezogenen Zertifikaten des UEFI Forums bereit. Microsoft selbst empfiehlt für Windows sowie für seine eigenen Geräte zunächst, der Microsoft CA für Dritte das Vertrauen zu entziehen, sofern die eigene Firmware dies erlaubt.

Das Update des gesamten betroffenen Ökosystems ist wohl sehr aufwändig und wird einige Zeit in Anspruch nehmen. Damit Derartiges nicht bald wieder geschehen muss, haben die beteiligten Distributoren und Sicherheitsunternehmen in einer großangelegten Aktion nach weiteren Fehlern in Grub 2 gesucht, die ähnliche Angriffe ermöglichen, und haben eine Vielzahl davon schließlich auch gefunden.

Dazu gehören laut der Linux-Distribution Debian auch Fehler im Umgang mit ACPI-Tabellen durch den Linux-Kernel. Details finden sich bei den einzelnen Herstellern und Distributoren wie Debian, Canonical, Red Hat, Suse, HP, HPE oder VMware.

Nachtrag vom 31. Juli 2020, 9:00 Uhr

Im Bugtracker von Red Hat finden sich inzwischen zahlreiche Berichte, dass die zur Verfügung stehende Updates unter Umständen dazu führen, dass Rechner nicht mehr starten. Dies scheint unabhängig von der Nutzung von Secure Boot zu sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Freddy1404 31. Jul 2020

(IMHO) Signiert wird alles, grub, kernel und shim. shim dient hier als first-stage...

Rabbit 31. Jul 2020

Ich geb dir recht, dass mit Verlust der physischen Kontrolle über ein Gerät eigentlich...

ElMario 30. Jul 2020

...klingt Buffer Overflow immer so Retro. :)



Aktuell auf der Startseite von Golem.de
Oliver Blume
VW verwirft Trinity-Modell und plant nochmal neu

VWs Ingenieure müssen den Trinity neu planen, weil das Design bei der Konzernspitze durchgefallen ist. Zudem gibt es eine neue Softwarestrategie.

Oliver Blume: VW verwirft Trinity-Modell und plant nochmal neu
Artikel
  1. Bedenken zu Microsoft 365: Datenschützer will mit Wirtschaft über Office-Software reden
    Bedenken zu Microsoft 365
    Datenschützer will mit Wirtschaft über Office-Software reden

    Bei den Gesprächen könnte herauskommen, dass Microsoft 365 nicht mehr verwendet werden darf.

  2. Smart-TV: Google veröffentlicht Android TV 13
    Smart-TV
    Google veröffentlicht Android TV 13

    Bisher haben die meisten Smart-TVs und Streaminggeräte mit Googles TV-Betriebssystem noch nicht einmal ein Update auf Android TV 12 erhalten.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /