CVE-2016-4484 – Security-Lücke in Cryptsetup – große Katastrophe oder Panikmache?

3 Kommentare Autor: Jürgen (jdo)

CVE-2016-4484 beschreibt eine Security-Lücke, mit der sich ein Angreifer eine root-Shell auf einem Linux-System ergattern kann. Das Problem liegt in Cryptsetup. Genauer gesagt geht es um das Script, das die Systempartition entsperrt, wenn sie LUKS (Linux Unified Key Setup) verwendet.

Auszunutzen ist die Lücke relativ einfach. Halte bei der Aufforderung, das LUKS-Passwort einzugeben, die Eingabetaste einfach 70 Sekunden lang gedrückt. Danach erscheint magisch eine Eingabeaufforderung mit root-Rechten.

Das funktioniert laut Aussage der Entdecker mit Debian, Ubuntu / Linux Mint, aber auch mit Systemen, die Dracut und nicht initramfs verwenden. Fedora 24 ist genauso anfällig.

Ein Fix ist schon unterwegs. Nach einer bestimmten Anzahl an falsch eingegebenen Passwörtern wird einfach die Boot-Sequenz gestoppt. Bis ein Update da ist, kannst Du auch einen Workaround nutzen, der hier beschrieben ist.

CVE-2016-4484

CVE-2016-4484

CVE-2016-4484 ist große Katastrophe, oder?

Wie so oft sollte man die Schnappatmung einstellen, das Gehirn einschalten und dann die Panik auf Abwarten und Tee trinken abklingen lassen. Sehen wir uns einfach mal ein paar Fakten zu CVE-2016-4484 an.

  1. Verschlüsselte Partitionen werden durch diese Security-Lücke nicht entschlüsselt. Wenn Du während der Installation die Daten Deines Home-Verzeichnisses verschlüsselt hast, kommt der Angreifer nicht ran. Daten verschlüsseln ist heutzutage die empfohlene Methode, da ein Performance-Einbruch vernachlässigbar ist. Somit ist das Loch schon mal ein ganzes Eck kleiner. Zugegeben bekommt der Angreifer Zugriff auf die nicht verschlüsselten Partitionen.
  2. Du könntest Dein Notebook mit einem BIOS-Passwort abriegeln / Festplatte verschlüsseln. Dann hat CVE-2016-4484 ziemlich den Wind aus den Segeln, denn es kommt gar nicht erst bis zur Abfrage des LUKS-Passworts.
  3. GRUB könntest Du auch mit einem Passwort versehen.
  4. Um die Ausmaße der Security-Lücke CVE-2016-4484 auszunutzen oder das Gleiche bewirken zu können, muss die Security-Lücke gar nicht erst existieren. Die meisten Notebooks sind per Standard so eingestellt, das Sie ein Booten von USB-Stick zulassen oder ich mir das Boot-Medium aussuchen kann. Habe ich einen bootfähigen USB-Stick mit einem Linux-Live-System, dann komme ich ebenfalls an die nicht verschlüsselten Partitionen.
  5. Lass einfach niemanden an Deinen Rechner oder pass auf Dein Notebook auf! Klar muss sein, dass ein Ausnutzen von CVE-2016-4484 physischer Zugriff auf den jeweiligen Rechner voraussetzt.

Nicht fein, aber auch nicht sooooo schlimm

Natürlich ist diese Security-Lücke nicht fein und muss ausgebügelt werden. Aber die Schwarzmalerei nimmt gerade schon wieder komische Dimensionen an. Zumindest ist die Security-Lücke als nicht so dramatisch eingestuft, dass man ihr gleich einen eigenen Namen gibt.

Um Dich vor Lücken wie CVE-2016-4484 zu schützen oder entsprechende Angriffe abzuschwächen, fasse Dich am besten bei der eigenen Nase. Boot von USB deaktivieren und BIOS-Passwort sind schon mal ein großartiger Anfang. Wenn Deine Daten oder Partitionen dann noch verschlüsselt sind … durchatmen und weitermachen. Das sind übrigens Maßnahmen, die Du auch ohne CVE-2016-4484 durchführen solltest. Ein bisschen mehr Schutz schadet nie.

Ich scheiße mir ehrlich gesagt vor Remote-Lücken wesentlich mehr in die Hose. Das gilt vor allen Dingen mit Blick auf das IoT (Internet of Things / Internet der Dinge). Es wird abertausende von Maschinchen geben, die irgendwann vielleicht nicht mehr gepflegt werden. Sollten sich da Security-Lücken auftun, dann kann das ganz übel enden. Bisher hat da auch noch keiner eine richtige Lösung. Es ist recht interessant zu verfolgen, wie die eine Seite dem IoT und dem dazugehörigen Markt entgegenfiebert und die andere sich gerade noch einen Satz frische Unterhosen kauft …




 Alle Kommentare als Feed abonnieren

3 Kommentare zu “CVE-2016-4484 – Security-Lücke in Cryptsetup – große Katastrophe oder Panikmache?”

  1. Im Grunde genommen handelt es sich doch um ein nicht dokumentiertes Feature. Ob sich dabei jemand was Schlechtes gedacht hat, als er den Code geschrieben hat, sei mal dahingestellt. Fakt ist, wenn ich physikalischen Zugriff zu einem Gerät habe, dann kann ich allen möglichen Unsinn damit treiben. Die Platte ausbauen und kopieren etc, Malware in die Bootpartition schreiben usw... Ich sehe das genau wie Sie, und würde mir eher Gedanken bei einem Remote-Exploit machen.

  2. Hallo!

    Seit du nicht mehr im OSBN postest entgeht mir ja so einiges!

    Ja, hab mich auch schon gefragt, was der Bug eigentlich bewirkt. Mein Fazit, so wie deines, nichts, was man mit einer Live-Distri nicht auch könnte: die initrd manipulieren, oder unverschlüsselte Partitionen lesen/schreiben.

    Und das IoT: ich versteh den ganzen Hype gar nicht! Was soll ich über Internet mein Wohnzimmerlicht anschalten? Oder mir gar selbst Überwachungskameras ans Haus bauen? Und diese dann ins Internetz streamen lassen??? Klingt für mich unglaublich dumm. Naja, und wenn diese Dinger dann noch ein Botnetz aufbauen und das halbe Internetz lahmlegen, dann weckt das fast schon wieder Schadenfreude bei mir. Daß die Leute schon ihr eigenes Geld investieren, um die Arbeit der Stasi zu machen... Tztztz.

    Na denn, schöne Grüße ausm Flachland!
    chris