Start Empfohlen Riesiger BootHole-Fehler im GRUB2-Bootloader gefährdet Millionen von Windows- und Linux-Systemen durch Hacker

Riesiger BootHole-Fehler im GRUB2-Bootloader gefährdet Millionen von Windows- und Linux-Systemen durch Hacker

3
0


Roden

Im Bootloader GRUB2 wurde eine schwerwiegende Schwachstelle namens BootHole entdeckt. Millionen von Systemen laufen Gefahr, Hackern ausgesetzt zu sein – vor allem solche mit Linux, aber auch Windows ist betroffen. Die von Sicherheitsforschern bei Eclypsium entdeckte BootHole-Schwachstelle wurde mit CVE-2020-10713 („GRUB2: erstellte grub.cfg-Datei kann zu willkürlicher Codeausführung während des Bootvorgangs führen“) und einer CVSS-Bewertung von 8,2 zugeordnet.

Der Fehler kann ausgenutzt werden, um während des Bootvorgangs willkürlichen Code auszuführen, selbst wenn Secure Boot aktiviert ist und praktisch alle Linux-Distributionen betroffen sind. Darüber hinaus macht die Schwachstelle auch Windows-Systeme, die Secure Boot mit der standardmäßigen Microsoft Third Party UEFI-Zertifizierungsstelle verwenden, angreifbar.

Siehe auch:

Laut Eclypsium ist die Schwachstelle so groß, dass „die Mehrheit der Laptops, Desktops, Server und Workstations sowie Netzwerkgeräte und andere Spezialgeräte, die in der Industrie, im Gesundheitswesen, im Finanzsektor und in anderen Branchen verwendet werden“ betroffen sind. BootHole ist schon länger bekannt, aber die Sicherheitsforscher halfen dabei, die verantwortungsvolle Offenlegung der Schwachstelle zu koordinieren, damit Betriebssystementwickler, Softwareingenieure und andere gemeinsam an Fixes arbeiten können.

Trotzdem warnt Eclypsium: „Die Abwehr erfordert die Signierung und Bereitstellung neuer Bootloader und die Sperrung von anfälligen Bootloadern, um zu verhindern, dass Angreifer ältere, anfällige Versionen bei einem Angriff verwenden. Dies wird wahrscheinlich ein langer Prozess sein und viel Zeit in Anspruch nehmen.“ damit Organisationen das Patching abschließen“.

Schreiben über die Sicherheitslücke, die Sicherheitsfirma erklärt:

Im Zuge der Analyse von Eclypsium haben wir eine Pufferüberlauf-Schwachstelle in der Art und Weise identifiziert, wie GRUB2 Inhalte aus der GRUB2-Konfigurationsdatei (grub.cfg) parst. Hinweis: Die GRUB2-Konfigurationsdatei ist eine Textdatei und normalerweise nicht wie andere Dateien und ausführbare Dateien signiert. Diese Schwachstelle ermöglicht die Ausführung beliebigen Codes innerhalb von GRUB2 und damit die Kontrolle über das Booten des Betriebssystems. Dadurch könnte ein Angreifer den Inhalt der GRUB2-Konfigurationsdatei ändern, um sicherzustellen, dass der Angriffscode ausgeführt wird, bevor das Betriebssystem geladen wird. Auf diese Weise gewinnen Angreifer Persistenz auf dem Gerät.

Ein solcher Angriff würde erfordern, dass ein Angreifer über erhöhte Berechtigungen verfügt. Es würde dem Angreifer jedoch eine leistungsstarke zusätzliche Eskalation von Berechtigungen und Persistenz auf dem Gerät bieten, selbst wenn Secure Boot aktiviert ist und die Signaturprüfung für alle geladenen ausführbaren Dateien ordnungsgemäß durchgeführt wird. Eines der expliziten Entwurfsziele von Secure Boot besteht darin, zu verhindern, dass nicht autorisierter Code, selbst wenn er mit Administratorrechten ausgeführt wird, zusätzliche Berechtigungen und Persistenz vor dem Betriebssystem erhält, indem Secure Boot deaktiviert oder die Boot-Kette anderweitig geändert wird.

Mit der einzigen Ausnahme eines Anbieters bootfähiger Tools, der benutzerdefinierten Code hinzugefügt hat, um eine Signaturprüfung der Konfigurationsdatei grub.cfg zusätzlich zur Signaturprüfung der ausführbaren GRUB2-Datei durchzuführen, alle Versionen von GRUB2, die Befehle von einer externen grub.cfg laden Konfigurationsdatei sind anfällig. Dies erfordert die Veröffentlichung neuer Installer und Bootloader für alle Linux-Versionen. Anbieter müssen neue Versionen ihrer Bootloader-Shims veröffentlichen, die von der Microsoft 3rd Party UEFI CA signiert werden. Es ist wichtig zu beachten, dass ein Angreifer eine anfällige Version von Shim und GRUB2 verwenden kann, um das System anzugreifen, bis alle betroffenen Versionen der dbx-Sperrliste hinzugefügt wurden. Dies bedeutet, dass jedes Gerät, das der UEFI-Zertifizierungsstelle von Microsoft von Drittanbietern vertraut, für diesen Zeitraum anfällig ist.

Zusätzlich zu Anbietern, die Shims verwenden, die von der Microsoft 3rd Party UEFI CA signiert sind, verwenden einige OEMs, die sowohl die Hardware als auch den Software-Stack in ihren Geräten kontrollieren, ihren eigenen Schlüssel, der werkseitig in der Hardware bereitgestellt wird, um GRUB2 direkt zu signieren. Sie müssen auch für diese Systeme Updates und Sperren früherer anfälliger Versionen von GRUB2 bereitstellen.

Hinweise wurden veröffentlicht von Microsoft, das UEFI-Forum, Debian, Kanonisch, Roter Hut, SUSE, PS, HPE, VMware und der Vorgelagertes Grub2-Projekt.

Da der Rollout von Updates und Fixes voraussichtlich noch einige Zeit in Anspruch nehmen wird, gibt es in der Zwischenzeit einige Ratschläge:

  1. Beginnen Sie sofort mit der Überwachung des Inhalts der Bootloader-Partition (EFI-Systempartition). Dies wird Zeit für den Rest des Prozesses gewinnen und hilft, betroffene Systeme in Ihrer Umgebung zu identifizieren. Für diejenigen, die die Eclypsium-Lösung bereitgestellt haben, können Sie diese Überwachung unter der Komponente „MBR/Bootloader“ eines Geräts sehen.
  2. Installieren Sie Betriebssystemupdates wie gewohnt auf Desktops, Laptops, Servern und Geräten. Angreifer können Fehler bei der Rechteausweitung im Betriebssystem und in Anwendungen ausnutzen, um diese Sicherheitsanfälligkeit auszunutzen. Die Systeme sind danach immer noch anfällig, aber es ist ein notwendiger erster Schritt. Sobald das Widerrufsupdate später installiert wird, sollte der alte Bootloader nicht mehr funktionieren. Dazu gehören Notfalldisketten, Installationsprogramme, Enterprise-Gold-Images, virtuelle Maschinen oder andere bootfähige Medien.
  3. Testen Sie die Aktualisierung der Sperrliste. Testen Sie unbedingt die gleichen Firmware-Versionen und -Modelle, die im Feld verwendet werden. Es kann hilfreich sein, zuerst auf die neueste Firmware zu aktualisieren, um die Anzahl der Testfälle zu reduzieren.
  4. Um diese Sicherheitsanfälligkeit zu schließen, müssen Sie das Widerrufsupdate bereitstellen. Stellen Sie sicher, dass alle bootfähigen Medien zuerst Betriebssystem-Updates erhalten haben, führen Sie sie langsam auf nur eine kleine Anzahl von Geräten gleichzeitig aus und integrieren Sie die aus den Tests gewonnenen Erkenntnisse als Teil dieses Prozesses.
  5. Wenden Sie sich an Ihre Drittanbieter, um sicherzustellen, dass sie dieses Problem kennen und angehen. Sie sollten Ihnen eine Antwort bezüglich der Anwendbarkeit der Dienste/Lösungen, die sie Ihnen anbieten, sowie ihre Pläne zur Behebung dieser hoch bewerteten Schwachstelle geben.

Bildnachweis: Bhimrao Patil / Shutterstock



Vorheriger ArtikelZwei Drittel der Android-Antivirus-Apps blockieren weniger als 30 Prozent der Bedrohungen
Nächster ArtikelFast 80 Prozent der Unternehmen hatten in den letzten 18 Monaten eine Cloud-Datenpanne

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein