Linux-Entwickler sind dabei, eine Sicherheitslücke mit hohem Schweregrad zu schließen, die in bestimmten Fällen die Installation von Malware ermöglicht, die auf Firmware-Ebene ausgeführt wird, wodurch Infektionen Zugang zu den tiefsten Teilen eines Geräts erhalten, wo sie schwer zu erkennen oder zu entfernen sind .
Die Schwachstelle liegt im Shim, bei dem es sich im Linux-Kontext um eine kleine Komponente handelt, die zu Beginn des Startvorgangs in der Firmware ausgeführt wird, bevor das Betriebssystem gestartet wird. Genauer gesagt spielt der Shim, der praktisch allen Linux-Distributionen beiliegt, eine entscheidende Rolle beim sicheren Booten, einem in die meisten modernen Computergeräte eingebauten Schutz, der sicherstellt, dass jeder Link im Boot-Prozess von einem verifizierten, vertrauenswürdigen Lieferanten stammt. Durch die erfolgreiche Ausnutzung der Schwachstelle können Angreifer diesen Mechanismus neutralisieren, indem sie schädliche Firmware in den frühesten Phasen des Startvorgangs ausführen, bevor die Unified Extensible Firmware Interface-Firmware geladen und die Kontrolle an das Betriebssystem übergeben wurde.
Bei der Schwachstelle mit der Bezeichnung CVE-2023-40547 handelt es sich um einen sogenannten Pufferüberlauf, einen Programmierfehler, der es Angreifern ermöglicht, Code ihrer Wahl auszuführen. Es befindet sich in einem Teil des Shims, der das Booten von einem zentralen Server in einem Netzwerk unter Verwendung desselben HTTP verarbeitet, auf dem das Internet basiert. Angreifer können die Schwachstelle bei der Codeausführung in verschiedenen Szenarien ausnutzen, praktisch alle nach einer erfolgreichen Kompromittierung entweder des Zielgeräts oder des Servers oder Netzwerks, von dem das Gerät startet.
„Ein Angreifer muss in der Lage sein, ein System dazu zu zwingen, über HTTP zu booten, wenn er dies nicht bereits tut, und entweder in der Lage sein, den betreffenden HTTP-Server oder MITM-Verkehr zu ihm auszuführen“, sagte Matthew Garrett, ein Sicherheitsentwickler und einer der ursprünglichen Shim-Autoren, schrieb in einem Online-Interview. „Ein Angreifer (physisch anwesend oder der bereits Root im System kompromittiert hat) könnte dies nutzen, um den sicheren Start zu untergraben (einen neuen Starteintrag zu einem von ihm kontrollierten Server hinzufügen, Shim kompromittieren, willkürlichen Code ausführen).“
Anders ausgedrückt umfassen diese Szenarien:
- Erlangung der Fähigkeit, einen Server zu kompromittieren oder einen Adversy-in-the-Middle-Identitätswechsel durchzuführen, um ein Gerät anzugreifen, das bereits für den Start über HTTP konfiguriert ist
- Sie haben bereits physischen Zugriff auf ein Gerät oder erlangen administrative Kontrolle durch Ausnutzung einer separaten Schwachstelle.
Obwohl diese Hürden hoch sind, sind sie keineswegs unmöglich, insbesondere die Möglichkeit, einen Server zu kompromittieren oder sich als Server auszugeben, der über HTTP mit Geräten kommuniziert, was unverschlüsselt ist und keine Authentifizierung erfordert. Diese speziellen Szenarien könnten sich als nützlich erweisen, wenn ein Angreifer bereits einen gewissen Zugriff auf ein Netzwerk erlangt hat und versucht, die Kontrolle über verbundene Endbenutzergeräte zu übernehmen. Diese Szenarien werden jedoch weitgehend behoben, wenn Server HTTPS verwenden, die Variante von HTTP, bei der sich ein Server authentifizieren muss. In diesem Fall müsste der Angreifer zunächst das digitale Zertifikat fälschen, mit dem der Server nachweist, dass er berechtigt ist, Boot-Firmware für Geräte bereitzustellen.
Auch die Möglichkeit, sich physischen Zugang zu einem Gerät zu verschaffen, ist schwierig und wird allgemein als Grund dafür angesehen, dass es bereits kompromittiert ist. Und natürlich ist es bereits schwierig, durch die Ausnutzung einer separaten Schwachstelle im Betriebssystem die administrative Kontrolle zu erlangen, und ermöglicht es Angreifern, alle möglichen böswilligen Ziele zu erreichen.