Microsoft hat seine AI-Lösung Microsoft Security CoPilot verwendet, um mehrere Boot-Loader, darunter den von Linux verwendeten Open-Source-Boot-Loader Grub, sowie U-boot und Barebox, auf Schwachstellen abzuklopfen. Dabei wurden gleich mehrere Schwachstellen entdeckt – wobei die Verwendung von AI das Auffinden von Schwachstellen beschleunigt.
Anzeige
Microsoft hat diese Erkenntnisse Ende März 2025 im Blog-Beitrag Analyzing open-source bootloaders: Finding vulnerabilities faster with AI veröffentlicht.
Um Schwachstellen schneller bei einer Analyse zu erkennen, setzt Redmond seinen Microsoft Security Copilot ein. Dabei gelang es der Microsoft Threat Intelligence mehrere Schwachstellen in mehreren Open-Source-Bootloadern zu finden. Diese Schwachstellen im Boot-Loader betreffen alle Betriebssysteme, die auf Unified Extensible Firmware Interface (UEFI) Secure Boot angewiesen sind, sowie auf IoT-Geräte.
Die Schwachstellen, die im GRUB2-Bootloader (häufig als Linux-Bootloader verwendet) sowie in den Bootloadern U-boot und Barebox (häufig für eingebettete Systeme verwendet) gefunden wurden, könnten es Bedrohungsakteuren ermöglichen, beliebigen Code auf den Systemen zu injizieren und auszuführen.
Anzeige
Bei der Analyse entdeckte das Team mittels Microsoft Security Copilot potenzielle Sicherheitsprobleme in Bootloader-Funktionen. Dabei konzentrierte man sich, aufgrund des hohen Schwachstellenpotenzials, auf die Analyse der Dateisysteme. Dieser Ansatz sparte dem Team etwa eine Woche Zeit, die es sonst für die manuelle Überprüfung des Inhalts gebraucht hätte. Durch eine Reihe von Prompts an die AI-Lösung konnten die Sicherheitsexperten mehrere Sicherheitsprobleme identifizieren und untersuchen. Schließlich stießen sie auf eine ausnutzbare Integer-Überlaufschwachstelle, die eine Remote Code Execution ermöglichen könnte.
Copilot unterstützte die Microsoft Sicherheits-Experten bei der Suche nach ähnlichen Mustern in anderen Dateien und sorgte so für eine umfassende Abdeckung und Validierung der Ergebnisse. Dank dieses effizienten Prozesses konnten die Microsoft-Leute gleich mehrere zusätzliche Schwachstellen bestätigen und die Analyse auf andere Bootloader wie U-boot und Barebox ausweiten. Denn diese verwenden den gleichen Code wie GRUB2.
Während Bedrohungsakteure wahrscheinlich physischen Gerätezugriff benötigen, um die U-Boot- oder Barebox-Schwachstellen auszunutzen, könnten die Schwachstellen im Fall von GRUB2 darüber hinaus ausgenutzt werden, um Secure Boot zu umgehen und heimliche Bootkits zu installieren oder möglicherweise andere Sicherheitsmechanismen wie BitLocker zu umgehen.
Die Microsoft-Leute haben diese Schwachstellen bei den GRUB2-, U-boot- und Barebox-Maintainern offengelegt und mit den GRUB2-Maintainern zusammengearbeitet, um Fixes für die entdeckten Schwachstellen beizusteuern. Um die Probleme zu beheben, haben die GRUB2-Maintainer am 18. Februar 2025 Sicherheitsupdates veröffentlicht. Auch die U-boot- als auch die Barebox-Maintainer haben am 19. Februar 2025 Updates veröffentlicht. Eine Liste der gefundenen Schwachstellen lässt sich im verlinkten Microsoft-Artikel abrufen.
Anzeige
Haben sie die KI auch mal auf den eigenen Bootloader losgelassen?
1+
Was ich noch nicht so auf den bekannten Seiten wie heise gelesen habe ist diese Nachricht und Lücke in der Lieferkette von Linux(Fedora und OpenSUSE). Das ist vielleicht auch etwas für den Blog hier.
Supply Chain Attacks on Linux distributions
https://fenrisk.com/supply-chain-attacks
Microsoft sollte doch mal AI über ihr gesamtes Software-Portfolio laufen lassen da finden sich doch sicher viel mehr Schwachstellen als in den Open-Source-Bootloadern. Aber man lenkt in Redmond lieber ab und macht Linux madig.
gilt für Linux genauso… auch da würde die AI sicher noch etliches finden. Will nen Linux Jünger natürlich nicht hören.
Das Problem ist sowohl Linux Jünger wie MS kümmert das wenig… die einen weil sie ja in Ihrem Monopol sicher zu scheinen, die anderen weil sie sich für unfehlbar halten und Linux ja so viel besser ist. Linux hat nur einen Vorteil die Verbreitung… ist zu unwichtig da Zeit zu investieren ;-P
Tja nur eine Gruppe hat es richtig verstanden: die Phösen Jungs, die nutzen längst KI für ihre Zwecke und denen ist das OS egal, Hauptsache fette Beute!
Linux hat den Vorteil von Open-Source und dass Leute, die etwas davon verstehen, in den Code reinschauen können – und das auch regelmäßig tun. Da fallen "böse Funktionen" etwas schneller auf, als nur per Zufall oder Reverse-Engineering bei Microsoft oder Apple. Was die da in ihren Codes alles versenkt haben, wollen wir vermutlich gar nicht wirklich so genau wissen. Also ich zumindest nicht.
aha so wie die Lücken die über zwei Jahrzehnte nicht endeckt wurden (openSSH); oder XZ usw.)?
das Open Source und kann man ja prüfen ist eher theoretischer Natur! den Die wenigsten können das wirklich (wegen Können und Zeitaufwand) wer jemals fremden Code reviewen musste weis das!
Und dann musst du denen vertrauen die das können… ist jetzt auch kein Unterschied zu Microsoft zu vertrauen!
Open Source bringt dir nur was wenn du selbst dazu in der Lage bist! Wieviel Promille der Bevölkerung ist dazu in der Lage? den Prozente kommen da keine zusammen!
M365 haben sie bei den Prüfungen wohl ausgelassen;-)
Es ist aus für grub. Unified Kernel Images werden als nächstes von den Distros über systemd-boot verwendet. Dann ist man diese legacy Komponente endlich los.
Ja, super. Obligatorischer Systemd-Mist ist genau das, was man braucht. Nicht. Zum Glück gibt es genügend Distros, die diesen Weg nicht gehen werden.
Die Realität ist, es gibt keine "non-systemd distro" die irgend eine relevanz hat. Diese haben
a) keine Verbreitung
b) keine aktive Community
c) keine Entwicklung (im sinne dass sich andere daran orentieren)
systemd kann nervig und sperrig sein ja, aber das ist schon durch alle technical boards durchgekaut worden
Von Deinem Posting ist so gut wie nichts korrekt. Ich nenne Dir jetzt mal einige Distributionen und überlasse den Rest Deiner Recherche: Alpine Linux, Artix, Devuan, PCLinuxOS, Void Linux.
Und es geht nicht darum, dass Systemd sperrig ist. Es ist ein riesiger Moloch (und bitte jetzt nicht die witzlose Diskussion, dass doch alles modular ist, denn in der Praxis ist es das nicht) und das steht der IT-Sicherheit im Wege.
Nein.
Alpine Linux wird fast ausschließlich als Container Base genommen und hat keine Relvanz auf Hardware. Ist ja auch der Ansatz von AL, lediglich OS und Libs bereit zu stellen.
Artix ist ein Arch
Devuan ist ein veraltetes Debian. Hier übrigens sind die systemd Gegener im technical board grandios gescheitert und es ist ein sammelbecken für leute die es halt nicht wahr haben wollen.
PCLinuxOS ist tot.
Void Linux ist eine Distri für PowerPC. Natürlich nutzt das ein veraltetes Konzept/Ideen.
von all deinen Aufzählungen sind halt nach wie vor, alle irrelevant
Dafür, dass Devuan so irrelevant ist, läuft es zuverlässig und glücklich machend überall um mich herum. Es ist auch nicht "veraltet", sondern auf dem Stand von Debian, nur eben ohne Systemd. Schön, dass talentierte Programmierer dazu übergegangen sind ihren Mist so zu schreiben, dass er ohne Systemd gar nicht mehr läuft. Ist ein wenig, wie die Seuche bei Android, dass man unbedingt alles auf die Google-Services tackern muss, damit der Scheiß auch ja nicht auf einem reinen Android-Whiteboard, einem Android-TV oder einem günstigem Asia-Handy/Tablet funktioniert, sondern nur auf Geräten mit vorinstalliertem Google. Aber das sind dann für mich eher "irrelevante Programme, bei denen andere Mütter auch schöne Töchter haben".
Systemd ist keine Lösung, sondern eine Religion. Die Freaks sind nicht die Gegner, sondern die Unterstützer. Es untergräbt den einst freien und modularen Charakter von Linux, in dem es unnötige Abhängigkeiten schafft. Der Erfinder arbeitet daher heute genau da, wo er immer hingehörte, denn Pulseaudio war auch schon schlecht, von Avahi ganz zu schweigen! ;)
Keine Ahnung, inwiefern das stimmt, aber wundern würde mich das beim "Boot-Monster" Grub(2) nicht. Ein gutes Beispiel, wie nur noch schwer überschaubare Komplexität und Featuritis auch bei Linux Einzug halten.
Sind Überläufe noch irgendwas anderes als Hudelei? Gibt es Stellungnahmen der für die betroffenen Commits Verantwortlichen? Wieso war für das Testen des Übrigen eine Woche zu lang?
Als wenn das alles die Offenbarung wäre. Und Hacker könnten eine AI ebenfalls dazu nutzen, um solche Lücken zu finden, oder sogar Schadcode einfacherer zu generieren.