Sicherheitsforscher von Eclypsium hat eine Anfälligkeit im Bootloader Grub2 namens BootHole offengelegt, der vor allem für Linux-Systeme, aber auch für Windows, macOS und BSD-basierte Betriebssysteme genutzt wird. Angreifer können die Schwachstelle ausnutzen, um den Bootvorgang zu manipulieren. Patches beziehungsweise Sicherheitswarnungen stehen inzwischen unter anderem von Microsoft, Oracle, Red Hat, Canonical, Suse, Debian, Citrix, HP, VMware sowie diversen OEMs und Softwareanbietern zur Verfügung.
Der eigentliche Fehler soll in der Grub2-Konfigurationsdatei grub.cfg stecken. Ihr entnimmt Grub2 systemspezifische Einstellungen. Dort hinterlegte Werte lassen sich so anpassen, dass sie einen Pufferüberlauf auslösen. Außerdem soll es möglich sein, den gesamten Bootloader gegen eine schädliche Variante auszutauschen.
Darüber hinaus ist BootHole in der Lage, eine wichtige OS-unabhängige Sicherheitsfunktion auszuhebeln. Secure Boot soll auf UEFI basierten Systemen eigentlich verhindern, dass eine veränderte Firmware geladen wird. Dafür führt die Funktion eine kryptografische Prüfung aus. Diese Prüfung berücksichtigt jedoch nicht die Datei grub.cfg.
Allerdings gibt es für Angriffe auf die BootHole-Lücke auch Einschränkungen. So lässt sich die Grub2-Konfigurationsdatei nur mit Administrator-Rechten bearbeiten – die muss sich ein Angreifer also zuerst sichern. Allerdings werden in Betriebssystemen regelmäßig Schwachstellen entdeckt und auch beseitigt, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen.
Eclypsium schätzt, dass jede Linux-Distribution von BootHole betroffen ist. „Zusätzlich zu Linux-Systemen ist jedes System, das Secure Boot mit der standardmäßigen Microsoft UEFI CA verwendet, für dieses Problem anfällig“, ergänzten die Forscher. „Daher glauben wir, dass die Mehrzahl der heute verwendeten modernen Systeme, einschließlich Server und Workstations, Laptops und Desktops sowie eine große Anzahl von Linux-basierten OT- und IoT-Systemen, potenziell von diesen Schwachstellen betroffen sind.“
Microsoft zufolge sind alle Versionen von Windows 10 sowie Windows 8.1, Windows RT, Server 2012, 2016, 2019 und Server 1903, 1909 und 2004 betroffen. Zudem verweist Microsoft auf einen ungetesteten Patch, der über die Website des UEFI Forum verteilt wird. Ein Windows-Update werde derzeit noch Kompatibilitätstests unterzogen.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…