• IT-Karriere:
  • Services:

UEFI: Kexec bereitet Secure Boot weiter Probleme

Mit Kexec lassen sich leicht laufende Kernel ersetzen und anschließend nutzen. Unter Verwendung von UEFI mit Secure Boot verursacht dies aber nach wie vor Sicherheitsprobleme, eventuell sogar für Windows.

Artikel veröffentlicht am ,
Mit Kexec lässt sich Secure Boot immer noch umgehen.
Mit Kexec lässt sich Secure Boot immer noch umgehen. (Bild: Daniel Pook/Golem.de)

Die UEFI-Funktion Secure Boot soll Rechner eigentlich sicherer machen, indem der Boot-Vorgang durch einen Schlüssel verifiziert und abgesichert wird. Nach anfänglichen Problemen mit Secure Boot unterstützen mittlerweile auch viele Linux-Systeme diese Technik. Doch die Kexec-Funktion, mit der einfach laufende Kernel durch andere ersetzt werden können, kann nach wie vor dazu verwendet werden, diesen Sicherheitsmechanismus zu unterlaufen, worauf Kernel-Entwickler Matthew Garrett erneut hinweist.

Kexec startet unsignierten Code

Stellenmarkt
  1. Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
  2. Stadtwerke Heidelberg GmbH, Heidelberg

Bereits im Januar dieses Jahres machte Garrett auf die mit Kexec verbundenen Probleme im Zusammenhang mit Secure Boot aufmerksam. Zudem stellte der Entwickler Patches bereit, die die Ausführung von Kexec in einer Secure-Boot-Umgebung verhindern. Diese sind allerdings nicht im Hauptzweig des Linux-Kernels eingepflegt und werden nicht von allen Distributionen genutzt.

So kann also auf einem Linux-System, das die Secure-Boot-Kette einhält, dennoch jeder unsignierte Kernel samt Modulen ausgeführt werden, solange die Ausführung von Kexec erlaubt ist. Zwar habe es in der Vergangenheit einige Versuche gegeben, diese Situation zu verbessern, doch eine zufriedenstellende Lösung dazu gebe es bis jetzt noch nicht, schreibt Garrett.

Kexec könnte Windows-Secure-Boot umgehen

Außerdem weist Garrett auf die Möglichkeit hin, dass mit Kexec nicht nur der Linux-Kernel, sondern sämtlicher Code gestartet werden kann, vermutlich auch ein Windows-Kernel. Das sei wohl trotz einigem Aufwand technisch durchaus denkbar, schreibt Garrett.

Dies ermöglicht es theoretisch, einen Windows-Kernel zu starten, der scheinbar mit Secure Boot gestartet wurde, tatsächlich aber Treibersignaturen nicht überprüft und jedweden Code ausführen kann. Dafür brauche es nur einige wenige Programme, die zusammen wohl nicht viel mehr als 10 MByte Speicher belegen und somit auf der EFI-System-Partition abgelegt werden könnten, um den Windows-Bootloader zu ersetzen.

Um derartige Szenarien zu verhindern, gibt es laut Garrett nach wie vor nur die Möglichkeit, das Laden von Kexec zu unterbinden, wie dies etwa beim Fedora-Projekt geschieht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 19,98€ (nach 1 Monat 9,99€/Monat für Amazon Music Unlimited - frühestens zum Ende des ersten...
  2. (aktuell u. a. LG-Fernseher günstiger (u. a. LG 49UN73906LE (Modelljahr 2020) für 449€), Eufy...
  3. (u. a. "Alles fürs Lernen zuhause!" und "Cooler Sommer, heiße Preise" und )
  4. (u. a. Mount & Blade II - Bannerlord für 28,99€, Resident Evil 3 (2020) für 24,99€, Detroit...

Thaodan 05. Dez 2013

Nur das x86, x86_64 die gleiche Architektur ist.

nille02 05. Dez 2013

Eher das ein Linux Kernel das nicht berücksichtigt. Ich gehe mal davon aus, dass wegen...

nille02 04. Dez 2013

Sicher Klasse wenn die Linux Secure Boot Zertifikate zurückgezogen werden.


Folgen Sie uns
       


Microsoft Flight Simulator 2020 angespielt

Golem.de hat den Microsoft Flight Simulator 2020 in einer Vorabfassung angespielt und erste Eindrücke aus den detaillierten Cockpits gesammelt.

Microsoft Flight Simulator 2020 angespielt Video aufrufen
PB60: Adminpasswort auf Asus-Rechnern wirkungslos
PB60
Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

  1. Vivobook Flip 14 Asus-Convertible verwendet AMD Renoir ab 600 US-Dollar
  2. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
  3. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Programmiersprache Go: Schlanke Syntax, schneller Compiler
    Programmiersprache Go
    Schlanke Syntax, schneller Compiler

    Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
    Von Tim Schürmann


        •  /