BootHole: Secure Boot-Lücke bedroht Windows- und Linux-Rechner

Secure Boot ist an sich ein Teil der UEFI-Spezifikation und wie der Name sagt, soll das den BIOS-Nachfolger besonders gut sichern. Das erfolgt durch einen Mechanismus, der die Echtheit von Software-Bestandteilen überprüft. Doch nun kam heraus: Das Ganze hat eine Schwachstelle. Die BootHole getaufte Lücke wurde von Eclypsium aufgespürt (via Bleeping Computer), das ist ein auf Unternehmenssicherheit spezialisierter Security-Dienstleister. Boot­Hole be­schreibt man in einem längeren Beitrag und schreibt, dass die Schwachstelle im GRUB2-Boot­loa­der liege und Windows sowie Linux-Geräte für Angriffe anfällig macht. Microsoft hat da­zu bereits eine Security Advisory veröffentlicht und bestätigt damit die "There's a Hole in the Boot" bekannte Lücke seinerseits.

Microsoft: "Um diese Schwachstelle auszunutzen, muss ein Angreifer über Ad­mi­ni­stra­tor­rech­te oder physischen Zugriff auf ein System verfügen, auf dem Secure Boot so kon­fi­gu­riert ist, dass er der Microsoft Unified Extensible Firmware Interface (UEFI) Certificate Authority (CA) ver­traut." Ein Angreifer könnte einen betroffenen GRUB installieren und beliebigen Start­code auf dem Zielgerät ausführen. So funktioniert ein BootHole-Angriff (stark vereinfacht)

Vielzahl an Rechnern betroffen

Laut Eclypsium sind Milliarden Geräte betroffen, darunter Laptops, Desktop-PCs, Server und Workstations. Das Problem an der Schwachstelle hängt mit einem Buffer Overflow zusammen und der Konfigurationsdatei grub.cfg. Denn dabei handelt es sich um eine simple Textdatei und diese ist nicht wie andere (ausführbare) Dateien signiert. Deshalb lässt sich die grub.cfg von einem Angreifer modifizieren, um über den Boot-Loader beliebige Software zu laden.

Eine auf diese Weise eingeschleuste Malware wäre besonders hartnäckig, weil sie auch eine Neuinstallation des Betriebssystems überleben würde. Die gute Nachricht ist, dass der Auf­wand relativ hoch wäre, diese Schwachstelle aus­zu­nut­zen, da man eben Admin-Rechte benötigt.

Wenn jemand aber diesen Aufwand nicht scheut, dann wäre der "Lohn" eine hartnäckige und auch weitreichende Kompromittierung eines Systems. Eclypsium hat alle betroffenen Her­stel­ler bereits über BootHole informiert, die Links zu den Security Advisorys und anderen Do­ku­men­ta­tio­nen von Microsoft, Debian, Canonical, Red Hat, SUSE, HP, HPE, VMware sowie dem Upstream Grub2 Project und UEFI Forum sind am Ende des Eclypsium-Beitrags zu finden.

Bis es greifbare Lösungen gibt, wird es aber noch eine Weile dauern. Denn das Signieren und verteilen eines neuen Bootloaders dauert seine Zeit, auch das Zurückziehen jener mit der Schwachstelle ist keine triviale Sache.