BootHole – CVE-2020-10713 – bitte aktualisieren – GRUB2 betroffen!
Mehrere große Linux-Distributoren haben gemeinsam Updates ausgegeben, um damit eine Security-Lücke mit Namen BootHole zu adressieren. Das Problem ist bei Eclypsium beschrieben, die es auch als BootHole bezeichnet habe. Die Sicherheitslücke wurde als CVE-2020-10713 gemeldet.
Angreifer brauchen administrative Rechte, um die Sicherheitslücke ausnutzen zu können.
Die Entdecker der des Sicherheitsproblems haben dabei mit den Linux-Distributoren, Computer-Herstellern und anderen Einrichtungen in der Branche zusammengearbeitet, um die Sicherheitslücke verantwortungsvoll zu veröffentlichen. Canonical schreibt zum Beispiel, dass sie bereits im April 2020 über die Security-Lücke in Kenntnis gesetzt wurden.
BootHole entdeckt – bitte Update einspielen! (Quelle: eclypsium.com)
Ein Loch ist also im Stiefel …
Was macht BootHole?
Vereinfacht gesagt können Angreifer beliebigen Code während des Boot-Vorgangs ausführen, auch wenn Secure Boot aktiviert ist. Damit sind Cyberkriminelle möglicherweise in der Lage, rootkits oder schädliche Bootloader zu installieren. Damit haben sie die Möglichkeit, die Kontrolle über das Gerät des Opfers zu erlangen.
Fast alle signierten Versionen von GRUB2 sind betroffen. Im Grunde genommen betrifft das die meisten Linux-Distributionen.
Die Security-Lücke ist deswegen sehr relevant, weil die meisten Linux-Distributionen GRUB2 (GRand Unified Bootloader 2) als Bootloader einsetzen.
Die Experten schreiben aber, dass die Security-Lücke alle Geräte betrifft, die Secure Boot einsetzen, auch wenn sie GRUB2 nicht einsetzen. Deswegen sind auch Windows-Geräte betroffen, die Secure Boot mit Standard Microsoft Third Party UEFI Certificate Authority nutzen. Deswegen sind auch ein Großteil der Server, Desktops, Laptops und so weiter von BootHole betroffen.
Um die Security-Lücke zu beheben, müssen Bootloader neu signiert und ausgerollt werden. Ältere Bootloader sollten widerrufen werden, damit man sie nicht nachträglich für einen Angriff ausnutzen kann. Die Entdecker schreiben, dass das zeitaufwendig für Unternehmen und Organisationen werden kann.
Update schon bekommen
Auf meinem Linux Mint 20 habe ich heute Morgen ein Update für den Linux-Kernel und auch für GRUB2 bekommen. Dabei wurden gleich noch 6 weitere Schwachstellen gepatcht, die im Zusammenhang mit GRUB2 stehen: CVE-2020-14308, CVE-2020-14309, CVE-2020-14310, CVE-2020-14311, CVE-2020-15706 und CVE-2020-15707. Ebenfalls wurde die bereits bekannte Schwachstelle CVE-2020-15705 ausgebessert.
Insgesamt bringt das Update für GRUB2 demnach Fixes für 8 Security-Lücken. Wie gesagt sollten Anwender alle ihre Systeme auf den neuesten Stand bringen.
Was Eclypsium empfiehlt
Im Bericht von Eclypsium sind ein paar Empfehlungen und Schritte, wie man mit BootHole umgehen sollte.
- Administratoren und Anwender sollten die Bootloader-Partition monitoren (EFI Systempartition).
- Selbst nach der Installation der Updates ist das System noch verwundbar. Deswegen muss man sicherstellen, dass die Angreifer keine Admin-Rechte bekommen. Sobald das spätere Update für den Widerruf installiert ist, sollten die alten Bootloader nicht mehr funktionieren. Das betrifft übrigens auch Rettungs-Systeme, Installer, sogenannte Gold-Abbilder für Unternehmen, virtuelle Maschinen und andere bootfähige Medien.
- Administratoren sollten das Update für den Widerruf erst auf einer kleinen Anzahl an Geräten testen.
- Weiterhin sollten Administratoren mit Drittanbietern Kontakt aufnehmen und sich informieren, ob sie über BootHole in Kenntnis gesetzt wurden.
Verallgemeinern lässt sich das schlecht. Jeder Administrator weiß selbst am besten, was er auf welchen Systemen betreibt.
