Abo
  • Services:
Anzeige
Mit Kexec lässt sich Secure Boot immer noch umgehen.
Mit Kexec lässt sich Secure Boot immer noch umgehen. (Bild: Daniel Pook/Golem.de)

UEFI Kexec bereitet Secure Boot weiter Probleme

Mit Kexec lassen sich leicht laufende Kernel ersetzen und anschließend nutzen. Unter Verwendung von UEFI mit Secure Boot verursacht dies aber nach wie vor Sicherheitsprobleme, eventuell sogar für Windows.

Anzeige

Die UEFI-Funktion Secure Boot soll Rechner eigentlich sicherer machen, indem der Boot-Vorgang durch einen Schlüssel verifiziert und abgesichert wird. Nach anfänglichen Problemen mit Secure Boot unterstützen mittlerweile auch viele Linux-Systeme diese Technik. Doch die Kexec-Funktion, mit der einfach laufende Kernel durch andere ersetzt werden können, kann nach wie vor dazu verwendet werden, diesen Sicherheitsmechanismus zu unterlaufen, worauf Kernel-Entwickler Matthew Garrett erneut hinweist.

Kexec startet unsignierten Code

Bereits im Januar dieses Jahres machte Garrett auf die mit Kexec verbundenen Probleme im Zusammenhang mit Secure Boot aufmerksam. Zudem stellte der Entwickler Patches bereit, die die Ausführung von Kexec in einer Secure-Boot-Umgebung verhindern. Diese sind allerdings nicht im Hauptzweig des Linux-Kernels eingepflegt und werden nicht von allen Distributionen genutzt.

So kann also auf einem Linux-System, das die Secure-Boot-Kette einhält, dennoch jeder unsignierte Kernel samt Modulen ausgeführt werden, solange die Ausführung von Kexec erlaubt ist. Zwar habe es in der Vergangenheit einige Versuche gegeben, diese Situation zu verbessern, doch eine zufriedenstellende Lösung dazu gebe es bis jetzt noch nicht, schreibt Garrett.

Kexec könnte Windows-Secure-Boot umgehen

Außerdem weist Garrett auf die Möglichkeit hin, dass mit Kexec nicht nur der Linux-Kernel, sondern sämtlicher Code gestartet werden kann, vermutlich auch ein Windows-Kernel. Das sei wohl trotz einigem Aufwand technisch durchaus denkbar, schreibt Garrett.

Dies ermöglicht es theoretisch, einen Windows-Kernel zu starten, der scheinbar mit Secure Boot gestartet wurde, tatsächlich aber Treibersignaturen nicht überprüft und jedweden Code ausführen kann. Dafür brauche es nur einige wenige Programme, die zusammen wohl nicht viel mehr als 10 MByte Speicher belegen und somit auf der EFI-System-Partition abgelegt werden könnten, um den Windows-Bootloader zu ersetzen.

Um derartige Szenarien zu verhindern, gibt es laut Garrett nach wie vor nur die Möglichkeit, das Laden von Kexec zu unterbinden, wie dies etwa beim Fedora-Projekt geschieht.


eye home zur Startseite
Thaodan 05. Dez 2013

Nur das x86, x86_64 die gleiche Architektur ist.

nille02 05. Dez 2013

Eher das ein Linux Kernel das nicht berücksichtigt. Ich gehe mal davon aus, dass wegen...

nille02 04. Dez 2013

Sicher Klasse wenn die Linux Secure Boot Zertifikate zurückgezogen werden.



Anzeige

Stellenmarkt
  1. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn
  2. Landeskriminalamt Thüringen, Erfurt
  3. Statistisches Bundesamt, Wiesbaden
  4. Aareon Deutschland GmbH, Leipzig, Dortmund


Anzeige
Top-Angebote
  1. 649,00€
  2. 20,00€
  3. 5,00€

Folgen Sie uns
       


  1. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  2. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  3. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  4. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel

  5. Auto

    Toyota will Fahrzeugsäulen unsichtbar machen

  6. Amazon Channels

    Prime-Kunden erhalten Fußball-Bundesliga für 5 Euro im Monat

  7. Dex-Bytecode

    Google zeigt Vorschau auf neuen Android-Compiler

  8. Prozessor

    Intels Ice Lake wird in 10+ nm gefertigt

  9. Callya Flex

    Vodafone eifert dem Congstar-Prepaid-Tarif nach

  10. Datenbank

    MongoDB bereitet offenbar Börsengang vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: Welche Display Größe & Auflösung?

    DetlevCM | 23:50

  2. Re: Und 18:00 bricht dann das Stromnetz zusammen..

    Eheran | 23:48

  3. Re: Immerhin ne alternative zu hd+

    Rettungsschirm | 23:48

  4. Re: Gefährlich/lukrativ ist nur das Microglücksspiel

    Libertybell | 23:46

  5. Re: Strom + Internet

    LinuxMcBook | 23:41


  1. 16:57

  2. 16:25

  3. 16:15

  4. 15:32

  5. 15:30

  6. 15:02

  7. 14:49

  8. 13:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel