CleanPress

Es ist ein Loch im Schuh…

Verfasst von

sla

in

,
Foto: Gia Oris on Unsplash

In den letzten Tagen geisterte eine Sicherheitslücke durch die Medien, die auf den Namen BootHole getauft wurde und die Katalognummer CVE-2020-10713 erhielt. Dort hieß es beispielsweise, es seien Millionen (potenziell sogar Milliarden) Geräte betroffen und das unter Linux wie unter Windows und auch dann, wenn Secure Boot eingeschaltet sei.

Wenn das Kind erstmal im Brunnen ist…

Das ist so weit alles richtig. Was dann aber im Text nur beiläufig erwähnt wird, ist, dass zur Ausnutzung der Lücke Root-Rechte benötigt werden. Hat ein Angreifer aber bereits Root-Rechte, kann er machen, was er möchte.

GRUB2-Konfiguration manipuliert

Was war passiert? Die Sicherheitsfirma Eclypsium hatte im April 2020 eine Lücke entdeckt, die über die Manipulation der Konfigurationsdatei grub.cfg des Bootloaders GRUB2 oder generell bei Maschinen mit aktiviertem Secure Boot das Einschleusen von Schadcode ermöglicht. Die technischen Hintergründe vermittelt der Artikel There’S A Hole In The Boot.

Zwei Hacks notwendig

Schadcode im Bootprozess ist sehr gefährlich, da sind wir uns einig. Dort installierte Malware wie etwa ein Bootkit kann unter Umständen lange unentdeckt bleiben und ermöglicht uneingeschränkte Kontrolle der befallenen Geräte. Aber wie bereits erwähnt, muss man zur Manipulation der Datei grub.cfg Root-Rechte besitzen, die normalerweise nur durch einen vorausgehenden Hack zu erhalten sind.

GRUB2 ist meist signiert

Der Zusammenhang mit Secure Boot entsteht dadurch, dass GRUB2 bei allen großen Distributionen mit Secure Boot signiert ist. Dazu verwenden Distributionen eine kleine Datei, die als Shim bezeichnet wird. Dieser enthält den Code, um den Bootloader zu verifizieren. Dieser Shim wird beim Start gegen die UEFI-CA von Microsoft verifiziert, bevor der Shim den GRUB2-Bootloader lädt und verifiziert.

Heap-Overflow

Ist die grub.cfg entsprechend manipuliert, kann per BootHole Code eingeschleust werden, da der Parser in GRUB2 nicht ordnungsgemäß beendet wird, wenn ein Fehler entdeckt wird,
was zum erzeugen von Pufferüberläufen im Heap-Datenbereich genutzt werden kann. Ein Angreifer kann dadurch bereits vor dem eigentlichen Start des Systems Code ausführen. auf diesem Weg kann beispielsweise Ransomware untergeschoben werden.

8,2 von 10

Das ist zweifelsohne eine gefährliche Lücke, die deshalb auch mit 8.2 von 10 möglichen Punkten beim CVSS-Index bewertet wurde. Die Angaben zur tatsächlichen Gefährdung sind aber nach meinem Dafürhalten mal wieder weit übertrieben und kommen mit markigen Überschriften dem Marketing von Eclypsium zugute.

Weitere Lücken entdeckt

Aber die Beschäftigung von allen großen Distributoren mit dem Problem förderte weitere sieben Sicherheitsprobleme bei GRUB2 ans Licht, die gleich mit beseitigt werden konnten. Angepasste Versionen von GRUB2 sind teilweise bereits erstellt und in Kürze einspielbar.

Lücke gefährlich – Gefährdung gering

Wir müssen uns wegen BootHole um unsere privaten Rechner wohl kaum Sorgen machen, denn zwei notwendige Attacken erscheinen hier nicht lohnenswert. Cyber-Gangster kennen weniger aufwendige Wege, unsere Rechner in ihre Botnetze zu integrieren. Rechner mit sensiblen Informationen im Enterprise-Umfeld sollten über geeignete Maßnahmen wie TPM oder PureBoot den Bootprozess absichern. Oder seht ihr das anders?

Kommentare

7 Antworten zu „Es ist ein Loch im Schuh…“

  1. Avatar von tuxnix
    tuxnix

    Das ist potentiell eine echte (?) Gefährdung mitten im Sommerloch.
    Wir sehen, UEFI-Secure-Boot ist auch nur so sicher wie die Software die zur Anwendung kommt.
    Diesmal war es Grub das Fehler aufwies. Was ist aber, mit all den Closed Source Treibern und Firmware die Microsoft für Secure-Boot noch so zertifiziert, ohne recht zu wissen was darinnen steckt?
    Da gähnt seit Ewigkeiten ein grosses schwarzes Sicherheits-Loch mitten im Computer Universum. Aber an diese Tatsache sind wir wohl alle schon lange gewohnt. Da regt sich niemand mehr drüber auf. Nichteinmal um das Sommerloch zu füllen.

    Antworten
  2. Avatar von Uwe
    Uwe

    Bei mir stand vorhin in der Aktualisierung schon GRUB2 unter Mint 19.3

    Was ist Ransomware?

    OT
    ———

    Aus der Community: Erfahrungsbericht zum Lenovo ThinkPad T14 unter Linux
    https://www.computerbase.de/2020-07/lenovo-thinkpad-t14-amd-ryzen-4000-renoir-linux/

    mit Link zum Artikel

    Antworten
    1. Avatar von Ferdinand
      Ferdinand

      Ransomware = Erpressungs-Software

      Antworten
      1. Avatar von Uwe
        Uwe

        Danke.

        Antworten
  3. Avatar von Christian
    Christian

    Moin Ferdinand,

    da bin ich nicht deiner Meinung den in beiden Artikeln steht es klar drin mit den nötigen rechten.
    Der Absatz von Heise gefällt mir am aller besten, denn physischer zugang ist auch nicht zu vergessen.

    […]“Das Ausnutzen dieser Lücken erfordert bereits Root-Rechte oder zumindest physischen Zugang zum System, damit der Angreifer die Datei grub.cfg verändern kann.“[…]
    Quelle: https://www.heise.de/news/BootHole-Bugs-im-Bootloader-Grub-gefaehrden-Linux-und-Windows-4859293.html

    […]“Für einen erfolgreichen Angriff braucht es Root- beziehungsweise Administrationsrechte, um die Grub2.cfg-Datei verändern zu können.[…]

    Gruß
    Christian

    Antworten
    1. Avatar von Christian
      Christian

      Nachtrag: Quelle vergessen: https://www.golem.de/news/grub-2-boothole-ermoeglicht-umgehung-von-secure-boot-2007-149959.html

      Antworten
      1. Avatar von Ferdinand
        Ferdinand

        Ich meinte eher die vielen reißerischen Überschriften mit Millionen gefährdeter Rechner, was dann durch die Notwendigkeit der Root-Rechte doch drastisch reduziert wird. Ist halt Sommerloch.

        Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge