Schwachstellen in der UEFI-Implementierung vieler unabhängiger BIOS-Anbieter ermöglichen schwer zu entdeckende und zu entfernende Angriffsvektoren auf vielen Rechnern.
Mit Opsi verwalten Administratoren die Geräte im Net
Basierend auf Debian Bookworm (12.2) und Aktueller Kernel 6.5 ist der freie Proxmox Backup Server 3.1 erschienen.
Die alternative und quelloffene UEFI-Firmware Libreboot unterstützt jetzt unter anderem auch das HP EliteBook 2570p. Darüber hinaus bietet sie zwei ROM-Images: eines mit CPU-Microcode und eines ohne. Abschließend haben die Entwickler massiv am Build-System geschraubt.
Bei den Desktop-Systemen läuft Libreboot auch auf den Mainboards HP 8300 USDT und Gigabyte GA-G41M-ES2L. Letzteres wurde von früheren Libreboot-Versionen schon einmal unterstützt, dann aber wieder entfernt.
Die Änderungen am Build-System protokolliert eine recht beeindruckende Liste in der offiziellen Ankündigung. Nach eigenen Angaben haben die Entwickler über die Hälfte des Build-Systems neu geschrieben oder zumindest einem Refactoring unterzogen. Der Aufbau soll jetzt logischer sein, zudem sind zahlreiche Bugs behoben.
Der Beitrag Libreboot 20230625 unterstützt weitere Mainboards erschien zuerst auf Linux-Magazin.
Die Distribution für Systemadministratoren nutzt jetzt den Linux Kernel 6.1, bietet sieben neue Programme und frischt das zugrundeliegende Debian-System auf. Verfügbar ist zudem Memtest86+ in der Version 6.10.
Diese aktualisierte Fassung des Hauptspeichertestprogramms bringt eine Fassung für UEFI-Systeme mit, die Finnix 125 im Bootmenü unter „Utilities“ offeriert. Aufgrund fehlender Signaturen lässt es sich allerdings nicht bei aktiviertem Secure Boot anwerfen.
Neu an Bord sind 2048, aespipe, iperf3, ncdu, netcat-traditional, ninvaders und vitetris. Weiterhin verfügbar ist das Paket netcat-openbsd, das auch standardmäßig das Kommando „nc“ stellt. Der Befehl „7z“ ruft im Hintergrund das Tool „7zr“ auf, sofern man nicht explizit das Paket „p7zip-full“ installiert.
„apt update“ holt die Paketinformationen sowohl aus dem „testing“- als auch dem „unstable“-Zweig. Das Apt-Pinning ist jedoch aktiviert, so dass Finnix Pakete aus „testing“ gegenüber denen aus „unstable“ bevorzugt.
Der Beitrag Finnix 125 bietet neue Pakete und Änderungen erschien zuerst auf Linux-Magazin.
Die Experten von Kaspersky haben mit dem CosmicStrand ein neues UEFI-Firmware-Rootkit entdeckt. Es sei hauptsächlich für Angriffe auf Privatpersonen in China verwendet worden, einige Opfer befänden sich zudem in Vietnam, im Iran und in Russland. Betroffen waren davon wohl nur Windows-Nutzer.
CosmicStrand ist nach Erkenntnissen der Kaspersky-Expertenvon einem zuvor unbekannten chinesischsprachigen Akteur geschrieben worden. Während das eigentliche Ziel der Angreifer noch nicht bekannt ist, stellten die Forscher fest, dass die Firmware nur auf Privatpersonen abzielt und nicht wie sonst üblich auf Unternehmen. Alle angegriffenen Computer seien Windows-basiert gewesen, teilt Kaspersky mit. CosmicStrand habe bei jedem Neustart eines Computers nach dem Start von Windows schädliche Code ausgeführt, dessen Zweck darin bestanden habe, sich mit einem C2-Server (Command-and-Control) zu verbinden und eine zusätzliche schädliche ausführbare Datei herunterzuladen.
Die Kaspersky-Experten konnten noch nicht identifizieren, wie das Rootkit auf die infizierten Computer gelangte, es gebe aber Hinweise, dass einige Nutzer wohl kompromittierte Geräte erhalten haben, als sie Hardware-Komponenten online bestellten. Interessant sei zudem, dass CosmicStrand wohl bereits seit Ende 2016 in freier Wildbahn verwendet wurde – lange bevor UEFI-Angriffe überhaupt öffentlich beschrieben wurden.
Dies deutet darauf hin, dass diese Akteure über fortschrittliche Fähigkeiten verfügen, die sicherstellten, dass die Firmware so lange unentdeckt bleiben konnte. Man müsse sich jetzt fragen, welche neuen Tools sie in der Zwischenzeit entwickelt haben, sagte Ivan Kwiatkowski, Senior Security Researcher beim Global Research and Analysis Team bei Kaspersky.
Der Beitrag Kaspersky entdeckt neues altes UEFI-Rootkit erschien zuerst auf Linux-Magazin.
Dass Linux-Systeme nicht auf Lenovo-Rechnern starten, liegt wohl an Bedingungen von Microsoft. Die sind aber weder öffentlich noch abgestimmt.
Mit der Initiative der Secured-Core-PCs und dem speziell dafür erstellten Security-Chip Pluton will Windows-Hersteller Microsoft die Sicherheitsarchitektur der Rechner auf Jahre verändern. Im Fall eines Thinkpad z13 von Lenovo führt dies aber dazu, dass Linux-Systeme offenbar nicht standardmäßig booten. Linux-Entwickler Matthew Garrett schreibt nun unter Berufung auf Lenovo in seinem Blog, das liege an bestimmten Bedingungen der Secured-Core-PCs-Initiative von Microsoft.
Der Grund dafür, dass die Linux-Systeme standardmäßig nicht booten, ist technisch der, dass der von Microsoft für Secure Boot erstellte CA-Schlüssel für Dritte nicht von der Firmware akzeptiert wird. Damit signierten Systemen wie Linux-Distributionen wird somit der Start verweigert. Microsoft forciert dies offenbar bei seinen Partnern der Secured-Core-PCs.
Diese Bedingungen sind laut Garrett außer durch das eine Dokument von Lenovo aber nicht öffentlich bekannt und wohl auch nicht mit der Linux-Community abgestimmt, obwohl Microsoft und die Linux-Distributoren seit Jahren zu Fragen rund um die Technik UEFI-Secure-Boot zusammenarbeiten. Immerhin signiert Microsoft die Bootloader der Distributionen, nachdem der Hersteller im Jahr 2012 die Unterstützung von Secure Boot als Voraussetzung für seine OEM-Partner einführte. Und die Community habe für diese Zusammenarbeit zahlreiche Anstrengungen unternommen, so Garrett.
Der Entwickler kommentiert die aktuelle Situation so: “Wenn also Microsoft, der selbsternannte Verwalter des UEFI-Secure Boot-Ökosystems, eine Kehrtwende macht und sagt, dass ein Haufen Binärdateien (…), die von Microsoft signiert wurden, jetzt von Microsoft als unsicher angesehen werden, ist das, ähm, irgendwie unhöflich? Vor allem, wenn ungeprüfte herstellersignierte Binärdateien immer noch als vertrauenswürdig gelten, obwohl überhaupt keine externe Überprüfung durchgeführt wird.”
Diese für die Linux-Community und -Nutzer eher unschöne Situation könne leicht durch Microsoft gelöst werden, indem das Unternehmen klare Regeln aufstelle, die auch von der der Community eingehalten und umgesetzt werden könnten. Dazu könnten auch zusätzliche Überprüfungen gehören, schlägt Garrett vor. Doch die bisherigen Entscheidungen seien ohne jede Rücksprache mit wichtigen Beteiligten umgesetzt worden, so Garrett.
Der Beitrag Auflagen für Secured-Core-PC verhindern Linux-Boot erschien zuerst auf Linux-Magazin.
Anmelden