• IT-Karriere:
  • Services:

UEFI: Kexec bereitet Secure Boot weiter Probleme

Mit Kexec lassen sich leicht laufende Kernel ersetzen und anschließend nutzen. Unter Verwendung von UEFI mit Secure Boot verursacht dies aber nach wie vor Sicherheitsprobleme, eventuell sogar für Windows.

Artikel veröffentlicht am ,
Mit Kexec lässt sich Secure Boot immer noch umgehen.
Mit Kexec lässt sich Secure Boot immer noch umgehen. (Bild: Daniel Pook/Golem.de)

Die UEFI-Funktion Secure Boot soll Rechner eigentlich sicherer machen, indem der Boot-Vorgang durch einen Schlüssel verifiziert und abgesichert wird. Nach anfänglichen Problemen mit Secure Boot unterstützen mittlerweile auch viele Linux-Systeme diese Technik. Doch die Kexec-Funktion, mit der einfach laufende Kernel durch andere ersetzt werden können, kann nach wie vor dazu verwendet werden, diesen Sicherheitsmechanismus zu unterlaufen, worauf Kernel-Entwickler Matthew Garrett erneut hinweist.

Kexec startet unsignierten Code

Stellenmarkt
  1. Energie Südbayern GmbH, München
  2. Northrop Grumman LITEF GmbH, Freiburg

Bereits im Januar dieses Jahres machte Garrett auf die mit Kexec verbundenen Probleme im Zusammenhang mit Secure Boot aufmerksam. Zudem stellte der Entwickler Patches bereit, die die Ausführung von Kexec in einer Secure-Boot-Umgebung verhindern. Diese sind allerdings nicht im Hauptzweig des Linux-Kernels eingepflegt und werden nicht von allen Distributionen genutzt.

So kann also auf einem Linux-System, das die Secure-Boot-Kette einhält, dennoch jeder unsignierte Kernel samt Modulen ausgeführt werden, solange die Ausführung von Kexec erlaubt ist. Zwar habe es in der Vergangenheit einige Versuche gegeben, diese Situation zu verbessern, doch eine zufriedenstellende Lösung dazu gebe es bis jetzt noch nicht, schreibt Garrett.

Kexec könnte Windows-Secure-Boot umgehen

Außerdem weist Garrett auf die Möglichkeit hin, dass mit Kexec nicht nur der Linux-Kernel, sondern sämtlicher Code gestartet werden kann, vermutlich auch ein Windows-Kernel. Das sei wohl trotz einigem Aufwand technisch durchaus denkbar, schreibt Garrett.

Dies ermöglicht es theoretisch, einen Windows-Kernel zu starten, der scheinbar mit Secure Boot gestartet wurde, tatsächlich aber Treibersignaturen nicht überprüft und jedweden Code ausführen kann. Dafür brauche es nur einige wenige Programme, die zusammen wohl nicht viel mehr als 10 MByte Speicher belegen und somit auf der EFI-System-Partition abgelegt werden könnten, um den Windows-Bootloader zu ersetzen.

Um derartige Szenarien zu verhindern, gibt es laut Garrett nach wie vor nur die Möglichkeit, das Laden von Kexec zu unterbinden, wie dies etwa beim Fedora-Projekt geschieht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (Huawei Matebook D 14 Zoll, Full HD + Freebuds 3 für 699€ und Huawei Matebook D 15 Zoll, Full...
  2. 299,00€
  3. 399€ (Bestpreis!)
  4. (u. a. Battlefleet Gothic: Armada 2 für 11,99€, Star Trek Bridge Crew für 6,66€, Rage 2 für...

Thaodan 05. Dez 2013

Nur das x86, x86_64 die gleiche Architektur ist.

nille02 05. Dez 2013

Eher das ein Linux Kernel das nicht berücksichtigt. Ich gehe mal davon aus, dass wegen...

nille02 04. Dez 2013

Sicher Klasse wenn die Linux Secure Boot Zertifikate zurückgezogen werden.


Folgen Sie uns
       


Galaxy Fold im Test

Das Galaxy Fold ist Samsungs erstes Smartphone mit faltbarem Display. Die Technologie ist spannend, im Alltag nervt uns das ständige Auf- und Zuklappen aber etwas.

Galaxy Fold im Test Video aufrufen
Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Elektroautos: Die elektrischste Tiefgarage Deutschlands
Elektroautos
Die elektrischste Tiefgarage Deutschlands

Was muss passieren, damit in zehn Jahren fast jeder in der Tiefgarage sein Elektroauto laden kann? Ein Pilotprojekt bei Stuttgart soll herausfinden, welcher Aufwand auf Netzbetreiber und Eigentümer und Mieter zukommen könnte.
Ein Bericht von Friedhelm Greis

  1. Renault Elektro-Twingo soll nicht schnellladefähig sein
  2. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  3. Renault City K-ZE Dacia plant City-Elektroauto

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

    •  /