Wie man ein verschlüsseltes Linux System in 70 Sekunden knackt

hacked-kl Diese Lücke hat es in sich, aber es gibt auch zwei positive Aspekte. Zum einen benötigt der Angreifer lokalen Zugang zum Gerät und zum zweiten gibt es einen Workaround. 

Die Sicherheitslücke mit der Bezeichnung CVE-2016-4484 hat es in sich und erzwingt Handlungsbedarf für die Admins. Allerdings ist sie auch nicht so dramatisch als das man in Panik verfallen müsste. Um es kurz zu machen: Hat ein Angreifer lokalen Zugriff auf den Computer der ein verschlüsseltes Linux System enthält und drückt bei der Eingabe des Passwortes für mindestens 70 Sekunden die Entertaste, bekommt er eine root-shell, halt also eine Kommandozeile mit Root-Rechten vor sich. 

Damit wird allerdings der verschlüsselte Bereich immer noch nicht zugänglich, denn der braucht ein weiteres Passwort. Aber er hat ansonsten Vollzugriff auf das System könnte beispielsweise den geschützten Bereich kopieren um ihn später in aller Ruhe mit einem Brute-Force Angriff zu knacken, oder er könnte das System zerstören bzw. Schadcode einbringen. 

Die Ursache liegt in der Logik der initrd.img. Ein Nutzer hat maximal 93 Versuche ein Passwort einzugeben. Wird der Counter überschritten geht die Fehlerroutine von einem Problem aus und öffnet eine Root-Shell damit man an dem Problem arbeiten kann. Betroffen sind Linux System die eben eine Initial Ramdisk bzw. Dracut einsetzen. Also auch Ubuntu, Debian und deren Derivate sowie Fedora. 

Die Forscher schlagen als Patch vor das System in einem solchen Fall in einen "endless Loop" zu treiben. Aber man kann auch als Workaround beim Starten den Kernelparameter "panic=5" mitgeben, der verhindert das diese Shell auftaucht. 

Wie der offizielle Patch schlussendlich aussieht, das muss man wohl abwarten. 

CVE-2016-4484: Cryptsetup Initrd root Shell [hmarco.org]

(Visited 69 times, 1 visits today)
Facebooktwittergoogle_plusredditpinterestlinkedinmail

Schreibe einen Kommentar

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden. Damit diese Seite funktioniert ist es notwendig kleine Dateien (genannt Cookies) auf deinem Computer zu speichern. Zudem erhöhen die Cookies den Bedienungskomfort für dich. Google selbst verwendet Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unserer Website zu analysieren. Außerdem gibt Google Informationen zur Nutzung unserer Website an dessen Partner für soziale Medien, Werbung und Analysen weiter. Die geschieht über die eingeblendeten Werbebanner. Wenn du diese Seite benutzt stimmst du der Nutzung von Cookies zu. Über Ihre Browsereinstellungen kannst du entscheiden ob Cookies angenommen werden oder nicht. Auch kannst du Cookies jederzeit und auch gezielt über den Browser löschen. Due kannst den Browser auch so konfigurieren das beim Schliessen alle Cookies automatisch gelöscht werden. Weit über 90% aller Webseiten setzen Cookies. Jedoch werden wir seit dem 26. Mai 2012 per EU Datenschutz Regelung dazu aufgefordert zuerst deine Zustimmung einzuholen.

Schließen