‘BootHole’-Schwachstelle setzt Milliarden von Windows- und Linux-Systemen einem Risiko aus

Forscher eines Unternehmens für Sicherheitsforschung, Eclypsium, haben eine schwerwiegende Schwachstelle im GRUB2-Bootloader entdeckt, die von Angreifern ausgenutzt werden kann, um während des Bootvorgangs bösartigen Code einzuschleusen und auszuführen.

Die Schwachstelle, die als CVE-2020-10713 verfolgt wird und den Namen „BootHole“ trägt, ist eine Pufferüberlauf-Schwachstelle in GRUB2 (Grand Unified Bootloader), einer Software, die ein Betriebssystem (OS) in den Speicher lädt, wenn ein System hochgefahren wird.

Dieser Fehler gefährdet alle Betriebssysteme (OS), die GRUB2 mit Secure Boot verwenden, einem Bestandteil, der dazu dient, den Bootprozess vor Angriffen zu schützen, selbst wenn er aktiv ist. Auch betrifft die Schwachstelle Systeme, die Secure Boot verwenden, selbst wenn sie GRUB2 nicht nutzen.

„Fast alle signierten Versionen von GRUB2 sind anfällig, was bedeutet, dass praktisch jede Linux-Distribution betroffen ist. Darüber hinaus unterstützt GRUB2 andere Betriebssysteme, Kernel und Hypervisoren wie Xen. Das Problem erstreckt sich auch auf jedes Windows-Gerät, das Secure Boot mit der Standard-Microsoft-Drittanbieter-UEFI-Zertifizierungsstelle verwendet“, erklärte Eclypsium in seinem Bericht.

Infolgedessen sind die Mehrheit der Laptops, Desktops, Server und Workstations sowie Netzwerkgeräte und andere Spezialgeräte, die in der Industrie, im Gesundheitswesen, im Finanzwesen und in anderen Branchen verwendet werden, betroffen, fügte das Unternehmen hinzu. Angreifer können diese Schwachstelle ausnutzen, um persistente und heimliche Bootkits oder bösartige Bootloader zu installieren, die ihnen „nahezu die vollständige Kontrolle“ über das Gerät des Opfers geben könnten.

Laut den Forschern befindet sich die tatsächliche BootHole-Schwachstelle in der GRUB2-Konfigurationsdatei (grub.cfg), einer externen Datei, die sich normalerweise in der EFI-Systempartition befindet. Diese Schwachstelle ermöglicht die Ausführung beliebigen Codes innerhalb von GRUB2 und damit die Kontrolle über das Booten des Betriebssystems. Dies würde es einem Angreifer ermöglichen, den Inhalt der GRUB2-Konfigurationsdatei zu ändern, um sicherzustellen, dass der Angriffs-Code ausgeführt wird, bevor das OS geladen wird. Auf diese Weise gewinnen Angreifer Persistenz auf dem Gerät.

Eclypsium-Forscher stellten fest, dass die Ausnutzung dieser Art von Schwachstelle erhöhte Berechtigungen auf dem angegriffenen Gerät erfordern würde. Dennoch würde es dem Angreifer eine mächtige zusätzliche Eskalation der Berechtigungen und Persistenz auf dem Gerät bieten, selbst wenn Secure Boot aktiviert ist und die Signaturüberprüfung aller geladenen ausführbaren Dateien ordnungsgemäß durchgeführt wird.

Alle Versionen von GRUB2, die Befehle aus einer externen grub.cfg-Konfigurationsdatei laden, sind anfällig. Nach der Entdeckung der BootHole-Schwachstelle hat Eclypsium die verantwortungsvolle Offenlegung mit verschiedenen Branchenakteuren koordiniert, darunter OS-Anbieter, Computerhersteller und CERTs.

„Die Minderung wird erfordern, dass neue Bootloader signiert und bereitgestellt werden, und anfällige Bootloader sollten widerrufen werden, um zu verhindern, dass Gegner ältere, anfällige Versionen in einem Angriff verwenden. Dies wird wahrscheinlich ein langer Prozess sein und erhebliche Zeit in Anspruch nehmen, um die Organisationen mit dem Patchen abzuschließen“, bemerkte Eclypsium.

Joe McManus, Sicherheitsingenieur bei Canonical, sagte: „Dank Eclypsium haben wir bei Canonical, zusammen mit dem Rest der Open-Source-Community, GRUB2 aktualisiert, um uns gegen diese Schwachstelle zu verteidigen. Während dieses Prozesses haben wir sieben weitere Schwachstellen in GRUB2 identifiziert, die ebenfalls in den heute veröffentlichten Updates behoben werden. Der Angriff selbst ist kein Remote-Exploit und erfordert, dass der Angreifer Root-Rechte hat. Vor diesem Hintergrund sehen wir nicht, dass es sich um eine weit verbreitete Schwachstelle handelt, die in der Wildnis verwendet wird. Dieser Aufwand veranschaulicht jedoch wirklich den Gemeinschaftsgeist, der Open-Source-Software so sicher macht.“

Andererseits wies Marcus Meissner, der Leiter des SUSE-Sicherheitsteams, darauf hin, dass das Problem zwar ernst und eine Behebung erforderlich sei, es jedoch nicht so schlimm sei.

„Angesichts der Notwendigkeit von Root-Zugriff auf den Bootloader scheint der beschriebene Angriff für die meisten Cloud-Computing-, Rechenzentrums- und persönlichen Geräteszenarien von begrenzter Relevanz zu sein, es sei denn, diese Systeme sind bereits durch einen anderen bekannten Angriff kompromittiert. Es schafft jedoch eine Exposition, wenn untrusted Benutzer auf eine Maschine zugreifen können, z. B. böswillige Akteure in klassifizierten Rechenumgebungen oder Computer in öffentlichen Räumen, die im unbeaufsichtigten Kioskmodus betrieben werden“, bemerkte Meissner.