BootHole: Schwerwiegende Sicherheitslücke in Grub2 betrifft Windows und Linux

Sicherheitsforscher von Eclypsium hat eine Anfälligkeit im Bootloader Grub2 namens BootHole offengelegt, der vor allem für Linux-Systeme, aber auch für Windows, macOS und BSD-basierte Betriebssysteme genutzt wird. Angreifer können die Schwachstelle ausnutzen, um den Bootvorgang zu manipulieren. Patches beziehungsweise Sicherheitswarnungen stehen inzwischen unter anderem von Microsoft, Oracle, Red Hat, Canonical, Suse, Debian, Citrix, HP, VMware sowie diversen OEMs und Softwareanbietern zur Verfügung.

Einem Eintrag im Eclypsium-Blog zufolge wurde die Sicherheitslücke bereits Anfang des Jahres entdeckt. Hacker könnten demnach Schadcode einschleusen und während des Bootvorgangs ausführen, um die vollständige Kontrolle über das Betriebssystem zu übernehmen. Eine solche Schadsoftware wird auch als Bootkit bezeichnet. Da sie im Bootloader oder anderen Komponenten wie Mainboard oder Arbeitsspeicher stecken kann, überlebt ein Bootkit auch die Neuinstallation des Betriebssystems.

Der eigentliche Fehler soll in der Grub2-Konfigurationsdatei grub.cfg stecken. Ihr entnimmt Grub2 systemspezifische Einstellungen. Dort hinterlegte Werte lassen sich so anpassen, dass sie einen Pufferüberlauf auslösen. Außerdem soll es möglich sein, den gesamten Bootloader gegen eine schädliche Variante auszutauschen.

Darüber hinaus ist BootHole in der Lage, eine wichtige OS-unabhängige Sicherheitsfunktion auszuhebeln. Secure Boot soll auf UEFI basierten Systemen eigentlich verhindern, dass eine veränderte Firmware geladen wird. Dafür führt die Funktion eine kryptografische Prüfung aus. Diese Prüfung berücksichtigt jedoch nicht die Datei grub.cfg.

Allerdings gibt es für Angriffe auf die BootHole-Lücke auch Einschränkungen. So lässt sich die Grub2-Konfigurationsdatei nur mit Administrator-Rechten bearbeiten – die muss sich ein Angreifer also zuerst sichern. Allerdings werden in Betriebssystemen regelmäßig Schwachstellen entdeckt und auch beseitigt, die eine nicht autorisierte Ausweitung von Benutzerrechten ermöglichen.

Eclypsium schätzt, dass jede Linux-Distribution von BootHole betroffen ist. „Zusätzlich zu Linux-Systemen ist jedes System, das Secure Boot mit der standardmäßigen Microsoft UEFI CA verwendet, für dieses Problem anfällig“, ergänzten die Forscher. „Daher glauben wir, dass die Mehrzahl der heute verwendeten modernen Systeme, einschließlich Server und Workstations, Laptops und Desktops sowie eine große Anzahl von Linux-basierten OT- und IoT-Systemen, potenziell von diesen Schwachstellen betroffen sind.“

Microsoft zufolge sind alle Versionen von Windows 10 sowie Windows 8.1, Windows RT, Server 2012, 2016, 2019 und Server 1903, 1909 und 2004 betroffen. Zudem verweist Microsoft auf einen ungetesteten Patch, der über die Website des UEFI Forum verteilt wird. Ein Windows-Update werde derzeit noch Kompatibilitätstests unterzogen.

ANZEIGE

Kollaborationsplattform Slack: Effizient arbeiten – egal von wo

Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago