BootHole: Schwerwiegende Sicherheitslücke in Grub2 betrifft Windows und Linux

Sicherheitsforscher von Eclypsium hat eine Anfälligkeit im Bootloader Grub2 namens BootHole offengelegt, der vor allem für Linux-Systeme, aber auch für Windows, macOS und BSD-basierte Betriebssysteme genutzt wird. Angreifer können die Schwachstelle ausnutzen, um den Bootvorgang zu manipulieren. Patches beziehungsweise Sicherheitswarnungen stehen inzwischen unter anderem von Microsoft, Oracle, Red Hat, Canonical, Suse, Debian, Citrix, HP, VMware sowie diversen OEMs und Softwareanbietern zur Verfügung.

Einem Eintrag im Eclypsium-Blog zufolge wurde die Sicherheitslücke bereits Anfang des Jahres entdeckt. Hacker könnten demnach Schadcode einschleusen und während des Bootvorgangs ausführen, um die vollständige Kontrolle über das Betriebssystem zu übernehmen. Eine solche Schadsoftware wird auch als Bootkit bezeichnet. Da sie im Bootloader oder anderen Komponenten wie Mainboard oder Arbeitsspeicher stecken kann, überlebt ein Bootkit auch die Neuinstallation des Betriebssystems.

Der eigentliche Fehler soll in der Grub2-Konfigurationsdatei grub.cfg stecken. Ihr entnimmt Grub2 systemspezifische Einstellungen. Dort hinterlegte Werte lassen sich so anpassen, dass sie einen Pufferüberlauf auslösen. Außerdem soll es möglich sein, den gesamten Bootloader gegen eine schädliche Variante auszutauschen.

Darüber hinaus ist BootHole in der Lage, eine wichtige OS-unabhängige Sicherheitsfunktion auszuhebeln. Secure Boot soll auf UEFI basierten Systemen eigentlich verhindern, dass eine veränderte Firmware geladen wird. Dafür führt die Funktion eine kryptografische Prüfung aus. Diese Prüfung berücksichtigt jedoch nicht die Datei grub.cfg.

Allerdings gibt es für Angriffe auf die BootHole-Lücke auch Einschränkungen. So lässt sich die Grub2-Konfigurationsdatei nur mit Administrator-Rechten bearbeiten – die muss sich ein Angreifer also zuerst sichern. Allerdings werden in Betriebssystemen regelmäßig Schwachstellen entdeckt und auch beseitigt, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen.

Eclypsium schätzt, dass jede Linux-Distribution von BootHole betroffen ist. „Zusätzlich zu Linux-Systemen ist jedes System, das Secure Boot mit der standardmäßigen Microsoft UEFI CA verwendet, für dieses Problem anfällig“, ergänzten die Forscher. „Daher glauben wir, dass die Mehrzahl der heute verwendeten modernen Systeme, einschließlich Server und Workstations, Laptops und Desktops sowie eine große Anzahl von Linux-basierten OT- und IoT-Systemen, potenziell von diesen Schwachstellen betroffen sind.“

Microsoft zufolge sind alle Versionen von Windows 10 sowie Windows 8.1, Windows RT, Server 2012, 2016, 2019 und Server 1903, 1909 und 2004 betroffen. Zudem verweist Microsoft auf einen ungetesteten Patch, der über die Website des UEFI Forum verteilt wird. Ein Windows-Update werde derzeit noch Kompatibilitätstests unterzogen.