• IT-Karriere:
  • Services:

Grub 2: Boothole ermöglicht Umgehung von Secure Boot

Der Fehler in dem Bootloader Grub ermöglicht damit ein dauerhaftes Bootkit. Ein komplettes Update wird aber schwierig und dauert.

Artikel veröffentlicht am ,
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen.
Die Boothole-Lücke betrifft zwar nur Grub, hat aber größere Auswirkungen. (Bild: Eclypsium)

Ein Team des Sicherheitsunternehmens Eclypsium hat eine Sicherheitslücke (CVE-2020-10713) in dem freien und sehr weit verbreiteten Bootloader Grub 2 entdeckt. Die Lücke wird auch als Boothole bezeichnet, denn sie kann dazu genutzt werden, die Sicherheitsvorkehrungen von UEFI Secure Boot zu umgehen und eigenen Code in einem sogenannten Bootkit auszuführen. Mit Hilfe von Secure Boot soll genau dieses Angriffsszenario eigentlich verhindert werden.

Stellenmarkt
  1. Amprion GmbH, Dortmund
  2. Universitätsstadt MARBURG, Marburg

Bei dem Fehler selbst handelt es sich um einen Buffer-Overflow in der Art und Weise, wie die Konfigurationsdatei (Grub2.cfg) von der Anwendung selbst verarbeitet wird. Die Lücke ermöglicht es, Code in dem Bootloader selbst auszuführen, und somit theoretisch eine volle Kontrolle darüber, welches System gestartet werden soll.

Mit der Möglichkeit, dabei auch die Konfigurationsdatei selbst so zu ändern, dass Code einfach immer vor dem Start des Betriebssystems ausgeführt wird, lässt sich Schadcode dauerhaft auf einem System einschleusen. Für einen erfolgreichen Angriff braucht es Root- beziehungsweise Administrationsrechte, um die Grub2.cfg-Datei verändern zu können.

Secure Boot umgehbar

Bei der Secure-Boot-Technik werden Bootloader und Betriebssysteme kryptografisch signiert. Beim Start werden diese Signaturen dann mit Schlüsseln einer Datenbank in der Firmware des Rechners verglichen. Gelingt die Verifikation, startet auch das System selbst. Gelingt dies nicht, etwa weil die Schlüssel zurückgezogen worden sind, soll Secure Boot den Systemstart eigentlich verhindern. Doch eben dieser Verifikationsmechanismus lässt sich nun mit Boothole umgehen.

Damit nicht jeder Linux-Distributor mit jedem Hersteller einzeln über das Hinterlegen von Schlüsseln und Zertifikaten verhandeln muss, hatten sich die Beteiligten vor Jahren darauf geeinigt, dass Microsoft als zentrale Certificate Authority (CA) von Dritten für Secure Boot genutzt werden kann. Nahezu alle derzeit verbreiteten Versionen von Betriebssystemen mit dem Bootloader Grub sind von dieser CA signiert. Das führt zu einem eigenartigen Problem in Bezug auf Updates für die Lücke.

Zwar lässt sich die Boothole-Lücke selbst vergleichsweise einfach beheben und entsprechende Updates mit einer neuen Signatur verteilen. Darüber hinaus muss aber die Datenbank der Rechner zur Überprüfung der Verifikation aktualisiert werden und die bisher genutzten Zertifikate müssen zurückgezogen werden, damit angreifbare Grub2-Versionen, die zuvor signiert worden sind, künftig nicht mehr für Angriffe genutzt werden können. Wird beides aber in der falschen Reihenfolge ausgeführt, führt dies unter Umständen zu einem nicht mehr startbaren System.

Koordinierte Updates

Die beteiligten Linux-Distributoren, weitere Grub-Nutzer, Microsoft oder auch das UEFI Forum koordinieren derzeit das weitere Vorgehen. So steht etwa bereits eine aktualisierte Revocation List mit zurückgezogenen Zertifikaten des UEFI Forums bereit. Microsoft selbst empfiehlt für Windows sowie für seine eigenen Geräte zunächst, der Microsoft CA für Dritte das Vertrauen zu entziehen, sofern die eigene Firmware dies erlaubt.

Das Update des gesamten betroffenen Ökosystems ist wohl sehr aufwändig und wird einige Zeit in Anspruch nehmen. Damit Derartiges nicht bald wieder geschehen muss, haben die beteiligten Distributoren und Sicherheitsunternehmen in einer großangelegten Aktion nach weiteren Fehlern in Grub 2 gesucht, die ähnliche Angriffe ermöglichen, und haben eine Vielzahl davon schließlich auch gefunden.

Dazu gehören laut der Linux-Distribution Debian auch Fehler im Umgang mit ACPI-Tabellen durch den Linux-Kernel. Details finden sich bei den einzelnen Herstellern und Distributoren wie Debian, Canonical, Red Hat, Suse, HP, HPE oder VMware.

Nachtrag vom 31. Juli 2020, 9:00 Uhr

Im Bugtracker von Red Hat finden sich inzwischen zahlreiche Berichte, dass die zur Verfügung stehende Updates unter Umständen dazu führen, dass Rechner nicht mehr starten. Dies scheint unabhängig von der Nutzung von Secure Boot zu sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Star Wars Episode I Racer für 1,93€, Star Wars: The Force Unleashed - Ultimate Sith...
  2. (u. a. Borderlands: The Handsome Collection für 13,99€, Sid Meier's Civilization VI für 13...
  3. 69,99€ (Standard Edition), 116,39€ (Premium Deluxe Edition - unter anderem mit Frankfurt...
  4. (-27%) 14,50€

Freddy1404 31. Jul 2020 / Themenstart

(IMHO) Signiert wird alles, grub, kernel und shim. shim dient hier als first-stage...

Rabbit 31. Jul 2020 / Themenstart

Ich geb dir recht, dass mit Verlust der physischen Kontrolle über ein Gerät eigentlich...

ElMario 30. Jul 2020 / Themenstart

...klingt Buffer Overflow immer so Retro. :)

Kommentieren


Folgen Sie uns
       


Cyberpunk 2077 - Trailer Juni 2020

Ds Spiel soll für alle aktuellen Plattformen im November 2020 erscheinen.

Cyberpunk 2077 - Trailer Juni 2020 Video aufrufen
Hildmann, Naidoo, Identitäre: Warum Telegram bei Rechten so beliebt ist
Hildmann, Naidoo, Identitäre
Warum Telegram bei Rechten so beliebt ist

Wer auf Telegram hetzt, den Holocaust leugnet oder Verschwörungsideologien verbreitet, muss nicht befürchten, dass seine Beiträge gelöscht werden. Auch große Gruppen fallen dort nicht unters NetzDG, die Strafverfolgung ist schwierig.
Ein Bericht von Stefan Krempl


    Elektromobilität: Ein Schiff, angetrieben durch die Kraft der Wellen
    Elektromobilität
    Ein Schiff, angetrieben durch die Kraft der Wellen

    Ein philippinischer Schiffbauer hat ein elektrisch angetriebenes Schiff entworfen, das den Strom für die Maschine selbst erzeugt.

    1. Elektromobilität Neues Elektroschiff für Fahrten durch norwegische Fjorde
    2. Autonomes Schiff IBM testet KI-Kapitän für autonome Mayflower
    3. Induktives Laden Elektrofähre in Norwegen lädt drahtlos

    Programmiersprache Go: Schlanke Syntax, schneller Compiler
    Programmiersprache Go
    Schlanke Syntax, schneller Compiler

    Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
    Von Tim Schürmann


        •  /