BootHole: Bugs im Bootloader Grub gefährden Linux und Windows
Angreifer könnten sich in den Boot-Prozess einklinken und quasi unsichtbare Schadsoftware einschleusen – trotz Secure Boot.
(Bild: Eclypsium)
Auf modernen Systemen soll ein abgesicherter Boot-Prozess garantieren, dass nur das originale, nicht manipulierte Betriebssystem gestartet werden kann. Forscher der Sicherheitsfirma Eclypsium entdeckten einen Fehler im Bootloader Grub2, der bei den meisten Linux-Systemen zum Einsatz kommt. Damit könnte sich ein Angreifer in den Bootprozess einklinken und das nachfolgend geladene System kompromittieren. Auch wenn das ein Windows sein sollte.
Unsichtbare Trojaner
Der Fehler beruht auf einer fehlerhaften Fehlerbehandlung durch Grub, die zu einem Pufferüberlauf und nachfolgendem Ausführen beliebigen Codes führen kann. Eclypsium meldete diese BootHole genannte Schwachstelle im April bei den Linux-Distributoren und den Grub-Entwicklern. Diese entdeckten daraufhin noch einen ganzen Schwung weiterer Fehler, sodass die jetzt bereit gestellten Updates insgesamt 8 Lücken in Grub2 schließen.
Das Ausnutzen dieser Lücken erfordert bereits Root-Rechte oder zumindest physischen Zugang zum System, damit der Angreifer die Datei grub.cfg verändern kann. Dann aber kann er Schadsoftware installieren, die sich so perfekt versteckt, dass sie innerhalb des Systems quasi unsichtbar ist. Solche Bootkit-Techniken kommen vor allem bei gezielten Angriffen (Advanced Perstistent Threats, APT) zum Einsatz. Das Ausnutzen von BootHole ist allerdings nur dann überhaupt erforderlich, wenn der Boot-Prozess via Secure Boot gegen solche Manipulationen gesichert ist.
Folgeprobleme nicht ausgeschlossen
Die jetzt vom Grub-Team bereitgestellte, aktualisierte Grub2-Version beseitigt diese Lücken. Sie wird aktuell von den Linux-Distributoren bereits ausgeliefert und man sollte sie möglichst zügig installieren – insbesondere wenn man Secure Boot nutzt. In der Beschreibung There's a hole in the boot listet Eclypsium die einzelnen Security-Advisories der betroffenen Hersteller auf.
Das Ganze könnte durchaus noch ein Nachspiel haben. Denn Secure Boot beruht letztlich auf digitalen Signaturen, die Microsoft ausstellt. Speziell für Linux- und andere Open-Source-Systeme hat Microsoft einen kleinen Boot-Shim von Grub2 signiert. Doch diese Unterschrift könnte Microsoft jetzt für die fehlerhaften Grub2-Versionen widerrufen. Dann würden unter Umständen Systeme mit diesen verwundbaren Grub2-Versionen und Secure Boot den Start verweigern. Derzeit evaluiert Microsoft die Auswirkungen von BootHole und eventuellen Sperrungen noch.
(ju)
