BootHole-Angriff wirkt sich auf Windows- und Linux-Systeme aus, die GRUB2 und Secure Boot verwenden

Es wird erwartet, dass Microsoft, Red Hat, Canonical, SuSE, Oracle, VMWare, Citrix und viele OEMs BootHole-Patches veröffentlichen werden.

Details über eine neue Schwachstelle in einer Kernkomponente des Secure Boot-Prozesses wurden nun veröffentlicht.

Die Schwachstelle mit dem Codenamen BootHole ermöglicht es Angreifern, den Boot-Ladeprozess zu manipulieren, der dem Start des eigentlichen Betriebssystems (OS) vorausgeht.

Dieser Prozess stützt sich auf Komponenten, die als Bootloader bekannt sind und für das Laden der Firmware aller Computer-Hardware-Komponenten verantwortlich sind, auf denen das eigentliche Betriebssystem läuft.

BootHole ist eine Schwachstelle in GRUB2, einer der derzeit beliebtesten Bootloader-Komponenten. Gegenwärtig wird GRUB2 als primärer Bootloader für alle wichtigen Linux-Distributionen verwendet, aber er kann auch booten und wird manchmal auch für Windows-, macOS- und BSD-basierte Systeme verwendet.

Wie BootHole funktioniert

Die BootHole-Schwachstelle wurde Anfang dieses Jahres von Sicherheitsforschern von Eclypsium entdeckt. Die vollständigen technischen Details über den Fehler wurden heute auf dem Eclypsium-Blog veröffentlicht.

Die Forscher erklären, dass BootHole es Angreifern erlaubt, die GRUB2-Komponente zu manipulieren, um während des Boot-Ladevorgangs bösartigen Code einzufügen und auszuführen, wodurch es Angreifern effektiv ermöglicht wird, Code einzufügen, der die volle Kontrolle über das Betriebssystem hat und zu einem späteren Zeitpunkt gestartet wird.

Diese Art von Malware wird in der Regel als Bootkit bezeichnet, da sie sich in Bootloadern, im physischen Speicher der Hauptplatine und an Orten befindet, die vom eigentlichen Betriebssystem getrennt sind, so dass sie Neuinstallationen des Betriebssystems überleben kann.

Laut Eclypsium befindet sich die eigentliche BootHole-Schwachstelle in grub.cfg, einer von der eigentlichen GRUB2-Komponente getrennten Konfigurationsdatei, aus der der Bootloader systemspezifische Einstellungen bezieht. Eclypsium sagt, dass Angreifer Werte in dieser Datei ändern können, um einen Pufferüberlauf innerhalb der GRUB2-Komponente auszulösen, wenn diese die Datei bei jedem Betriebssystemstart liest.

Erschwerend kommt hinzu, dass laut Eclypsium ein BootHole-Angriff auch dann funktioniert, wenn Server oder Workstations Secure Boot aktiviert haben.

Secure Boot ist ein Prozess, bei dem der Server/Computer kryptographische Prüfungen verwendet, um sicherzustellen, dass der Boot-Prozess nur kryptographisch signierte Firmware-Komponenten lädt.

Der BootHole-Angriff funktioniert auch bei aktiviertem Secure Boot, da bei einigen Geräten oder Betriebssystemeinstellungen der Secure Boot-Prozess die Datei grub.cfg nicht kryptografisch verifiziert, so dass Angreifer ihren Inhalt manipulieren können.

Es gibt auch einige Einschränkungen für diesen Angriff. Eclypsium sagt, dass der Angreifer Admin-Zugriff benötigt, um die Datei grub.cfg zu manipulieren. Dies sieht nach einer Einschränkung aus, ist es aber in Wirklichkeit nicht. Betriebssysteme und ihre Komponenten sind übersät mit "Elevation of Privilege"-Fehlern, die als Teil einer BootHole-Angriffskette ausgenutzt werden könnten, um Malware Admin-Zugriff zu ermöglichen und die Datei grub.cfg zu verändern.

Darüber hinaus wurde der Secure-Boot-Prozess speziell geschaffen, um zu verhindern, dass selbst hochprivilegierte Administratorkonten den Boot-Prozess kompromittieren, was bedeutet, dass BootHole eine große Sicherheitslücke in einem der sichersten Betriebsabläufe des IT-Ökosystems darstellt.

In den vergangenen Monaten hat Eclypsium nach eigenen Angaben das gesamte Hardware- und Software-Ökosystem über BootHole informiert (CVE-2020-10713).

Das Unternehmen schätzt, dass jede Linux-Distribution von dieser Schwachstelle betroffen ist, da alle GRUB2-Bootloader verwenden, die Befehle aus einer externen grub.cfg-Datei lesen.

"Zusätzlich zu Linux-Systemen ist jedes System, das Secure Boot mit der standardmäßigen Microsoft UEFI CA verwendet, anfällig für dieses Problem", fügte das Forschungsteam hinzu und sprach über die möglichen Auswirkungen von GRUB2 auf andere Betriebssysteme, die GRUB2 in einem Secure Boot-Prozess verwenden.

Daher glauben wir, dass die Mehrheit der heute verwendeten modernen Systeme, darunter Server und Workstations, Laptops und Desktops sowie eine große Anzahl von Linux-basierten OT- und IoT-Systemen, potenziell von diesen Schwachstellen betroffen sind.

Laut Eclypsium wird von heute an und für die kommenden Tage und Wochen erwartet, dass alle Arten von IT-Unternehmen Patches veröffentlichen werden, um BootHole in ihren Produkten zu beheben.

Eclypsium erwartet, dass das Patchen lange dauern wird, da das Beheben von Bootloader-Fehlern aufgrund der Vielzahl der Komponenten und der fortgeschrittenen Kryptographie, die in diesem Prozess involviert sind, normalerweise ein komplexer Prozess ist. Wie auch immer, halten Sie in zukünftigen Changelogs Ausschau nach CVE-2020-10713-Patches.