BootHole: Schwerwiegende Sicherheitslücke in Grub2 betrifft Windows und Linux

Sicherheitsforscher von Eclypsium hat eine Anfälligkeit im Bootloader Grub2 namens BootHole offengelegt, der vor allem für Linux-Systeme, aber auch für Windows, macOS und BSD-basierte Betriebssysteme genutzt wird. Angreifer können die Schwachstelle ausnutzen, um den Bootvorgang zu manipulieren. Patches beziehungsweise Sicherheitswarnungen stehen inzwischen unter anderem von Microsoft, Oracle, Red Hat, Canonical, Suse, Debian, Citrix, HP, VMware sowie diversen OEMs und Softwareanbietern zur Verfügung.

Einem Eintrag im Eclypsium-Blog zufolge wurde die Sicherheitslücke bereits Anfang des Jahres entdeckt. Hacker könnten demnach Schadcode einschleusen und während des Bootvorgangs ausführen, um die vollständige Kontrolle über das Betriebssystem zu übernehmen. Eine solche Schadsoftware wird auch als Bootkit bezeichnet. Da sie im Bootloader oder anderen Komponenten wie Mainboard oder Arbeitsspeicher stecken kann, überlebt ein Bootkit auch die Neuinstallation des Betriebssystems.

Der eigentliche Fehler soll in der Grub2-Konfigurationsdatei grub.cfg stecken. Ihr entnimmt Grub2 systemspezifische Einstellungen. Dort hinterlegte Werte lassen sich so anpassen, dass sie einen Pufferüberlauf auslösen. Außerdem soll es möglich sein, den gesamten Bootloader gegen eine schädliche Variante auszutauschen.

Darüber hinaus ist BootHole in der Lage, eine wichtige OS-unabhängige Sicherheitsfunktion auszuhebeln. Secure Boot soll auf UEFI basierten Systemen eigentlich verhindern, dass eine veränderte Firmware geladen wird. Dafür führt die Funktion eine kryptografische Prüfung aus. Diese Prüfung berücksichtigt jedoch nicht die Datei grub.cfg.

Allerdings gibt es für Angriffe auf die BootHole-Lücke auch Einschränkungen. So lässt sich die Grub2-Konfigurationsdatei nur mit Administrator-Rechten bearbeiten – die muss sich ein Angreifer also zuerst sichern. Allerdings werden in Betriebssystemen regelmäßig Schwachstellen entdeckt und auch beseitigt, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen.

Eclypsium schätzt, dass jede Linux-Distribution von BootHole betroffen ist. „Zusätzlich zu Linux-Systemen ist jedes System, das Secure Boot mit der standardmäßigen Microsoft UEFI CA verwendet, für dieses Problem anfällig“, ergänzten die Forscher. „Daher glauben wir, dass die Mehrzahl der heute verwendeten modernen Systeme, einschließlich Server und Workstations, Laptops und Desktops sowie eine große Anzahl von Linux-basierten OT- und IoT-Systemen, potenziell von diesen Schwachstellen betroffen sind.“

Microsoft zufolge sind alle Versionen von Windows 10 sowie Windows 8.1, Windows RT, Server 2012, 2016, 2019 und Server 1903, 1909 und 2004 betroffen. Zudem verweist Microsoft auf einen ungetesteten Patch, der über die Website des UEFI Forum verteilt wird. Ein Windows-Update werde derzeit noch Kompatibilitätstests unterzogen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

22 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago