Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

UEFI: Kexec bereitet Secure Boot weiter Probleme

Mit Kexec lassen sich leicht laufende Kernel ersetzen und anschließend nutzen. Unter Verwendung von UEFI mit Secure Boot verursacht dies aber nach wie vor Sicherheitsprobleme, eventuell sogar für Windows.
/ Sebastian Grüner
15 Kommentare News folgen (öffnet im neuen Fenster)
Mit Kexec lässt sich Secure Boot immer noch umgehen. (Bild: Daniel Pook/Golem.de)
Mit Kexec lässt sich Secure Boot immer noch umgehen. Bild: Daniel Pook/Golem.de

Die UEFI-Funktion Secure Boot soll Rechner eigentlich sicherer machen, indem der Boot-Vorgang durch einen Schlüssel verifiziert und abgesichert wird. Nach anfänglichen Problemen mit Secure Boot unterstützen mittlerweile auch viele Linux-Systeme diese Technik. Doch die Kexec-Funktion, mit der einfach laufende Kernel durch andere ersetzt werden können, kann nach wie vor dazu verwendet werden, diesen Sicherheitsmechanismus zu unterlaufen, worauf Kernel-Entwickler Matthew Garrett erneut hinweist(öffnet im neuen Fenster) .

Kexec startet unsignierten Code

Bereits im Januar dieses Jahres machte Garrett auf die mit Kexec verbundenen Probleme im Zusammenhang mit Secure Boot aufmerksam. Zudem stellte der Entwickler Patches bereit, die die Ausführung von Kexec in einer Secure-Boot-Umgebung verhindern. Diese sind allerdings nicht im Hauptzweig des Linux-Kernels eingepflegt und werden nicht von allen Distributionen genutzt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Informationssicherheitsbeauftragte*n (d/w/m) für den Bereich Institutsleitung Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen (IQWiG), Köln (öffnet im neuen Fenster)
Consultant Energiewirtschaft Datenqualität MaKo (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
Linux-Administrator (m/w/d) Behrens-Wöhlk GmbH & Co. KG, Rotenburg (Wümme) (öffnet im neuen Fenster)
ERP-Anwendersupport (m/w/d) - Microsoft Dynamics 365 Business Central Kräuter Mix GmbH, Abtswind (öffnet im neuen Fenster)
IT Supporter / Anwendungsbetreuer (m/w/d) HTG Hoch- und Tiefbau Gadebusch GmbH, Gadebusch (öffnet im neuen Fenster)
IT-Manager (m/w/d) Merz Verpackungsmaschinen GmbH, Lich (öffnet im neuen Fenster)
Consultant Kundenservice Steuerrechtliche Systeme (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Hannover,Frankfurt am Main (öffnet im neuen Fenster)
IT-Systemadministrator mit ERP-Verantwortung (m/w/d) Jung Verpackungen GmbH, Steinmauern (öffnet im neuen Fenster)

So kann also auf einem Linux-System, das die Secure-Boot-Kette einhält, dennoch jeder unsignierte Kernel samt Modulen ausgeführt werden, solange die Ausführung von Kexec erlaubt ist. Zwar habe es in der Vergangenheit einige Versuche gegeben, diese Situation zu verbessern, doch eine zufriedenstellende Lösung dazu gebe es bis jetzt noch nicht, schreibt Garrett.

Kexec könnte Windows-Secure-Boot umgehen

Außerdem weist Garrett auf die Möglichkeit hin, dass mit Kexec nicht nur der Linux-Kernel, sondern sämtlicher Code gestartet werden kann, vermutlich auch ein Windows-Kernel. Das sei wohl trotz einigem Aufwand technisch durchaus denkbar, schreibt Garrett.

Dies ermöglicht es theoretisch, einen Windows-Kernel zu starten, der scheinbar mit Secure Boot gestartet wurde, tatsächlich aber Treibersignaturen nicht überprüft und jedweden Code ausführen kann. Dafür brauche es nur einige wenige Programme, die zusammen wohl nicht viel mehr als 10 MByte Speicher belegen und somit auf der EFI-System-Partition abgelegt werden könnten, um den Windows-Bootloader zu ersetzen.

Um derartige Szenarien zu verhindern, gibt es laut Garrett nach wie vor nur die Möglichkeit, das Laden von Kexec zu unterbinden, wie dies etwa beim Fedora-Projekt geschieht.

Zur Startseite 15 Kommentare

Relevante Themen

Open SourceLinuxSoftwareSoftwareentwicklungBetriebssystemeWissenMatthew Garrett