Kardinalfehler: Microsoft setzt aus Versehen Secure Boot schachmatt
Durch eine vergessene Debug-Funktion hat Microsoft jedem Administrator die Möglichkeit gegeben, Secure Boot auch aus der Ferne abzuschalten. Damit aber nicht genug der Peinlichkeiten: Zwei Versuche, die Lücke zu stopfen, scheiterten bereits.
Mit dem Anniversary Update für Windows 10 (Version 1607) hat Microsoft eine Secure Boot Policy in den eigenen Bootloader eingebaut, die es einem Administrator auf einem System erlaubt, den Secure-Boot-Schutz zu umgehen. Damit ist es möglich, beliebige eigene Betriebssystem-Komponenten zu booten. Dieser Code muss lediglich irgendwie signiert sein – zum Beispiel mit einer selbst erstellten Signatur – damit der Bootloader ihn ausführt. Das umgeht die Schutzmechanismen von Secure Boot, da eigentlich nur Komponenten geladen werden dürften, die von Microsoft signiert sind.
Secure Boot? Nö!
Da die von Microsoft signierte und damit gültige Policy mittlerweile im Netz kursiert, kann nun ein eigentlich unberechtigter Angreifer, sofern er Administratorrechte besitzt, Secure Boot deaktivieren, ohne vor dem entsprechenden Rechner sitzen zu müssen. Bei PCs müsste er sonst in die Firmware booten und Secure Boot manuell abstellen. Bei Hardware bei der Microsoft dem Nutzer nicht erlaubt, Secure Boot zu deaktivieren (etwa Surface Tablets und Windows Phones) hat das den interessanten Effekt, dass Nutzer nun doch Secure Boot ausschalten und eigene Betriebssysteme booten kann.
Die Policy scheint eine Debug-Funktion zu sein. Microsoft hat sie anscheinend während der Entwicklung des Anniversary Updates eingebaut, um damit die eigenen Entwickler Builds von Betriebssystemkomponenten testen können, ohne sie jedes Mal mit dem offiziellen Microsoft-Schlüssel signieren zu müssen.
Ein unwirksamer Fix nach dem anderen
Die beiden Sicherheitsforscher, die Microsofts Fauxpas entdeckten, informierten die Firma im März. Zuerst wurde ihnen mitgeteilt, dass man das Problem nicht beheben wolle. Im Juli veröffentlichte Microsoft dann im Rahmen des Patchdays das Update MS16-094, allerdings stellten die Forscher fest, dass durch einen weiteren eklatanten Fehler Microsofts dieser das Problem nicht behebt. Auch der Patch MS16-100 vom gestrigen Patchday erschwert den Missbrauch der Policy nur, verhindert ihn aber nicht. Es ist zu erwarten, dass Microsoft die anstößige Policy mit einem weiteren Update komplett entfernt und die Lücke endgültig stopft.
Quelle: http://heise.de/-3291946
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Donnerstag, 11. August 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Donnerstag, 11. August 2016
- Detlef: Professionelle Beratung. Man nahm s... Donnerstag, 11. August 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Donnerstag, 11. August 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Donnerstag, 11. August 2016