Gleich acht Schwachstellen haben die Entwickler des Linux-Bootladers Grub 2 entdeckt und öffentlich gemacht. Über die Schwachstellen ließe sich der Secure Boot auf UEFI-Systemen aushebeln, weshalb sogar Microsoft einen Sicherheitshinweis rumschickt.
Anzeige
Ich bin diese Woche bereits über nachfolgenden Tweet bei Bleeping Computer auf den Hinweis bezüglich der als kritisch bzw. hoch eingestuften Schwachstellen im von Linux verwendbaren Bootlader Grub 2 gestoßen. Das Ganze tritt wohl in Verbindung mit dem auf Windows-Systemen geforderten UEFI Secure Boot auf.
Die Entwickler von Grub 2 haben die Schwachstellen wohl selbst gefunden bzw. veröffentlicht. Hintergrund ist, dass viele Leute in der Community sich den Boot-Lader genauer ansehen, seit voriges Jahr die BootHole-Schwachstelle öffentlich wurde. Gestern ist mir dann noch per Mail ein Sicherheitshinweis von Microsoft ins Postfach eingetrudelt, wo man dieses Thema ebenfalls adressiert.
**************************************************************************************
Title: Microsoft Security Update Releases
Issued: March 5, 2021
**************************************************************************************
Anzeige
Summary
=======
The following advisory has undergone a major revision increment:
– ADV200011 | Microsoft Guidance for Addressing Security Feature Bypass in GRUB
– Version 2.0
– Reason for Revision: Advisory updated to add the following CVEs: CVE-2020-14372,
CVE-2020-25632, CVE-2020-25647, CVE-2020-27749, CVE-2020-27779, CVE-2021-3418,
CVE-2021-20225, CVE-2021-20233. A new mitigation option will become available soon
for these new CVEs. When this option does become available, customers will be
notified via revision to this advisory. We recommend that you register for the
security notifications mailer to be alerted of content changes to this advisory.
See https://technet.microsoft.com/en-us/security/dd252948.
– Originally posted: July 29, 2020
– Updated: March 4, 2021
– Aggregate CVE Severity Rating: Important
Der Sicherheitshinweis listet die acht Schwachstellen auf (die sind auch bei Bleeping Computer im Beitrag zu finden). Inzwischen haben wohl die Maintainer der Linux-Distributionen mit eigenen Warnungen reagiert (heise hat hier einige Hinweise der Maintainer verlinkt). Dort gibt es auch Hinweise, wie man das Problem (durch Widerruf bestimmter Signaturen in der UEFI Secure Boot-Datenbank) entschärfen kann.
Anzeige
Da die Windows Hater ja bei Windows News immer Fleissig Haten, müsste man ja jetzt sagen,
das man dann doch besser bei einer Sauberen und Reinen Windows Installation bleiben sollte, da Linux dann doch nicht so Super toll sicher ist.
Dieses rumgefummel mit Grub und irgendwelchen Bootmanagern die bei den Unix Jüngern so Beliebt sind machen ja offensichtlich viel Ärger.
Natürlich ist das für Linux Jünger keine Linux Problem, sondern Windows wird schuld daran sein wegen dem UEFI Secure Boot.
Auf einem *reinen/sauberen* Linux System wäre das nicht passiert ;-)
Schon ein klein wenig unsinnig, Deine Aussage, oder? "GRUB2-Bootloader offenbart mehrere schwerwiegende Sicherheitslücken" – man achte auf den genauen Wortlaut. Es wurden Möglichkeiten entdeckt, wie sich das von Microsoft favorisierte Secure Boot aushebeln läßt und hat die Schwachstellen veröffentlicht, damit diese geschlossen werden können.
Finde ich jetzt ehrlich gesagt weder Contra Linux, noch Pro Windows.
Allerdings habe ich persönlich zu Grub 2 ein gespaltenes Verhältnis. Das Ding hat's schon bei zwei Fedora Dist-Upgrades zerschossen und bedurfte manueller Nacharbeiten, damit die Systeme wieder liefen.
Sowas darf schlichtweg nicht vorkommen. Weder bei BSD, noch bei Linux oder Windows.
Immerhin waren es virtualisierte Maschinen, das macht Reparaturarbeiten um Welten einfacher, als auf Baremetals.
Unsinnig ist dabei eigentlich nichts.
Benutzt man ein UEFI Bios mit einer Normalen Windows Installation braucht man keine Angst zu haben.
Wenn es allerdings los geht mit Dual Installation weil man Tolles Linux möchte, oder auf ein DELL, HP oder Sonstigen Windows Rechnern dann sein Geiles Linux Installieren möchte
Öffnet man Zwangsläuft die Angriffsmöglichkeit.
Im Heimanwender bereich sind die Rechner eben mit und für Windows ausgelegt,
und erst die Fummelei mit Bootmanager macht das System unsicher.
Nichts ist wirklich sicher. Stichwort: Lojax (und andere).
UEFI ist 'ne feine Sache, öffnet aber leider auch viele Angriffsvektoren, vor allem die Zugriffsmöglichkeiten direkt aus dem OS heraus sehe ich als problematisch (nebst der Option die Firmware mittlerweile über den Gerätemanager aktualisieren zu können).
Wie gesagt, es ist völlig egal, welches OS ausgeführt wird. Wer meint, seine Installation sei eine uneinnehmbare Festung, der irrt.
Aber ich pflichte Dir bei: Von Dual-Boot-Installationen halte ich auch nichts. Für Mischbetrieb habe ich Virtualisierungsoptionen, ansonsten lieber ein System pro OS.
Ach die liebe Diskusion über wer oder was ist besser, genau richtig zum Sonntag weil da passiert ohnehin nichts wichtiges.
Warum gibt es den klassischen Jumper eigentlich nicht mehr, so wie früher beim BIOS? Antwort dürfte sein, weil Microsoft zu jeder Zeit auch noch an der Firmware rumpfuschen können will, das ist die Sicherheitslücke.
Soviel zum Thema "Secure" Boot.
Noch bin ich mit reinem BIOS unterwegs, jedoch nach der nächsten Upgradewelle werde ich mich wohl oder übel mit dem ach so tollen, ach so sicheren "Bling-Bling-UEFI" beschäftigen müssen.
Um GRUB(2) mach' ich mir ehrlich geschrieben weniger Sorgen, zumindestens wird dieses schneller aktualisiert als jede WINDOWS-Schwachstelle…
Mab muss sich mit dem Blingbling nicht beschäftigen, man installiert es und benutzt es. Fertig. Mehr braucht da man normalerweise nicht zu wissen.