Grub2: 28 mal Backspace gedrückt und man kann in Linux-Rechner einbrechen – theoretisch

Ein Kommentar Autor: Jürgen (jdo)

Zwei Security-Experten aus Spanien haben einen komischen Bug gefunden, mit dem man in die meisten Linux-Maschinen einbrechen kann. Man muss dazu im Startbildschirm lediglich 28 mal Backspace drücken. Betroffen ist Grub2 und zwar die Versionen von 1.98 (Dezember 2009) bis 2.02 (Dezember 2015).

Der Fehler liegt im Bootloader Grub2. Drückt man Backspace oder die Taste Zurück 28 Mal, dann ruft das die Grub Rescue Shell auf den Plan. Nun hat man Zugriff auf den Computer und kann theoretisch Malware installieren, auf Daten zugreifen und so weiter. Stichwort an dieser Stelle ist auch APT oder Advanced Persistent Threat.

28 Mal Backspace ruft die Grub2 Rescue Shell auf den Plan

28 Mal Backspace ruft die Grub2 Rescue Shell auf den Plan

Fix für Grub2 ist schon da

Die beiden Security-Experten Hector Marco und Ismael Ripoll haben bereits einen Flicken zur Verfügung gestellt, der sich um den Fehler in Grub2 kümmert. Auch von Ubuntu, Red Hat und Debian gibt es bereits Patches.

Ob man selbst betroffen ist, kann man einfach testen. Wenn Grub2 nach dem Anmeldenamen fragt (sollte man Grub so eingestellt haben, dass der Bootloader mit einem Passwort geschützt ist), dann drückt man einfach 28 Mal die Backspace-Taste. Sollte sich der Rechner neu starten und dann die Grub Rescue Shell auftauchen, ist die Installation offenbar betroffen.

Die Kirche im Dorf lassen

Bevor nun alle gleich wieder in Panik verfallen, sollte man sich darüber bewusst sein, dass man für diesen Angriff physischen Zugriff auf die Maschine braucht. Der Fehler betrifft sehr wahrscheinlich sehr viele Systeme und wer weiß, wie viele davon nicht mehr gepatcht werden. Dennoch muss man zunächst Zugriff auf den Rechner haben. Sollte aber zum Beispiel ein BIOS-Passwort vergeben sein, dann kann man wie blöd auf der Tastatur hämmern und es tut sich nichts.

Habe ich physischen Zugriff auf eine Maschine und kann auf die Festplatte zugreifen, dann könnte ich auch ein Live-System verwenden, um Inhalte zu manipulieren. Der Unterschied ist, dass man im BIOS das Starten von USB oder CD/DVD unterbinden kann. In so einem Fall wäre der Bug dann eine Möglichkeit, sich dennoch Zugriff auf das entsprechende System zu beschaffen.

Bei vielen Desktop-Systemen gibt es wahrscheinlich gar keinen Passwort-Schutz für Grub2. Diese Rechner sind von dem hier beschriebenen Problem sowieso nicht betroffen, da sie sowieso offen sind.

Allerdings muss man sich auch dessen bewusst sein, dass ein verschlüsseltes Home-Verzeichnis nicht unbedingt schützt. In einem PoC-Exploit (Proof of Concept) haben die Security-Experten eine Firefox-Bibliothek so manipuliert, dass sie eine Reverse Shell aufrufen lassen, die über Port 53 kommuniziert. Somit lassen sich Daten vom jeweiligen Anwender klauen. Die modifizierte Bibliothek wurde übrigens von allen 55 Virustotal-Virenscannern nicht erkannt. Die Experten schreiben, dass es sich hier um ein recht einfaches Beispiel handelt, man aber auf diese Weise sehr wohl Advanced Persistent Threats einschmuggeln könnte.

Ausführliche Details zu dem Fehler gibt es auf der Website der Security-Experten.




 Alle Kommentare als Feed abonnieren

Ein Kommentar zu “Grub2: 28 mal Backspace gedrückt und man kann in Linux-Rechner einbrechen – theoretisch”

  1. postlet says:

    Vielen Dank, dass du in diesem Artikel nicht nur auf den Fehler selber eingegangen bist, sondern das auch sachlich relativiert in den richtigen Kontext gesetzt hast.

    Solchen Artikel von dir emfinde ich persönlich immer als tollen Indikator dafür, wie du über die Jahre die Qualität deines Blogs stetig verbessert hast. Weiter so!