X

Linux-Bug lässt Malware tief in Firmware und Boot-Vorgang sickern

Die meisten Linux-Systeme benötigten aktuell dringend einen Patch, der eine Schwachstelle in der Shim-Komponente schließt. Über den Bug kann Malware aktuell bis tief in die Firmware eines Rechners vordringen, wo sie nur schwer entdeckt und wieder entfernt werden kann.
08.02.2024  10:23 Uhr

Boot-Prozess im Visier

Shim spielt unter Linux eine entscheidende Rolle beim sicheren Booten des Systems. Hier wird dafür gesorgt, dass alle Prozesse, die an dem Vorgang beteiligt sind, von vertrauenswürdigen Anbietern stammen. Wenn dies umgangen werden kann, ist es möglich, Schadcode tief ins System vordringen zu lassen, wo er aktiv wird, noch bevor UEFI und Betriebssystem zum Tragen kommen. Im Shim wurde nun allerdings eine Schwachstelle bekannt, die unter der Kennung CVE-2023-40547 geführt wird. Es handelt sich hier um einen klassischen Puffer-Überlauf, durch den Angreifer fremden Code in den Arbeitsspeicher schieben und zur Ausführung bringen können. Die Sache wird besonders prekär, wenn Shim nicht nur einen Bootvorgang auf einem lokalen System durchführt, sondern per HTTP-Boot auch Server in einem Netzwerk aus der Ferne für den Angreifer zugänglich werden.


Die Hürden für einen erfolgreichen Angriff über die Schwachstelle in Shim sind durchaus hoch, erklärte Matthew Garrett, ein Sicherheitsentwickler und einer der ursprünglichen Shim-Entwickler, gegenüber Ars Technica. Die Möglichkeit, sich tief in sensible Systeme wie verschiedene Server einzuklinken, dürfte aber verlockend genug sein, damit Kriminelle den durchaus hohen Aufwand auf sich nehmen.

Einfache Gegenmaßnahmen

Nutzer von Linux-Systemen haben hier allerdings Glück im Unglück. Während viele Malware-Angriffe auf die Firmware dazu führen, dass man einen Rechner entweder mit großem Aufwand bis tief in seine Komponenten hinein reinigen oder besser direkt neue Hardware kaufen muss, ist ein Bootkit, das über Shim eindringt, durch das Neuformatieren der Festplatte zu entfernen.

Das liegt daran, dass es hier zwar möglich ist, die Malware in den Bootvorgang einzuschleusen, nicht aber unbedingt auch die Firmware des Rechners selbst zu verändern. Der Shim-Code wird aktuell bei Red Hat gepflegt, sodass von hier auch ein Patch - enthalten in Shim 15.8 - an die Entwickler der verschiedenen Linux-Distributionen verteilt wird. Diese müssen sich parallel auch darum kümmern, dass die Chain of Trust in ihren Systemen auf einen neuen Stand gebracht wird, sodass ältere Shim-Codes nicht mehr zum Tragen kommen können.

Zusammenfassung
  • Linux-Systeme brauchen Patch für Shim-Schwachstelle
  • Bug ermöglicht Malware-Eindringen in Firmware
  • Shim sichert Bootvorgang durch Vertrauensprüfung
  • CVE-2023-40547: Puffer-Überlauf in Shim entdeckt
  • HTTP-Boot erhöht Risiko für Netzwerkangriffe
  • Hohen Hürden für Shim-Angriffe, aber hohe Anreize
  • Linux-Nutzer: Bootkit durch Festplatten-Neuformatierung entfernbar
  • Shim-Code-Patch von Red Hat bereitgestellt (Shim 15.8)
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture