Am Puls von Microsoft

Secure Boot Backdoor in Windows 10 – was ist da dran?

Seit Windows 8 setzt Microsoft auf Secure Boot, um die Ausführung von Schadcode schon beim Systemstart zu verhindern. Obwohl Secure Boot gar keine Windows-Funktion ist, sondern ein Merkmal der UEFI-Firmware, sah sich Microsoft immer wieder kontroversen Diskussionen ausgesetzt. Ein Kritikpunkt war, dass die Redmonder dies als Waffe benutzen würden, um die Installation alternativer Betriebssysteme wie Linux zu verhindern. Das ist per Definition Unsinn, da sich Secure Boot bis auf wenige Ausnahmen in den UEFI-Einstellungen deaktivieren lässt.

Nun macht aktuell eine Geschichte die Runde, Microsoft habe im Rahmen der Entwicklung des Anniversary Updates eine Backdoor in Secure Boot eingebaut, die es ermögliche, den Schutz auszuhebeln und schon beim Start des Systems zusätzliche Komponenten zu laden. Zwei Versuche, diese Hintertür zu schließen, seien bislang gescheitert.

Die Geschichte kreist im Netz und es wird sich teilweise genüsslich darüber ausgeschüttet. Ich sage an diese Stelle ganz offen: Ich tue mich mit einer Bewertung schwer, soweit ich es aber bislang verstanden habe, scheint hier in der Tat ein grober Fehler gemacht worden zu sein, eine echte Sicherheits-Katastrophe aber kann ich nicht erkennen.

Basis aller News, die Ihr zu dem Thema eventuell schon gelesen habt, ist diese Veröffentlichung. Klickt den Link einfach mal an und dann werdet Ihr eventuell verstehen, warum ich meine Probleme damit habe, das ernst zu nehmen, noch bevor ich mit dem Lesen beginne.

Aber sei’s drum – was ist der Knackpunkt? Während der Entwicklungsphase des Anniversary Updates hat Microsoft eine Policy in Windows 10 integriert, die es grundsätzlich erlaubt, zusätzliche Betriebssystem-Komponenten (die allerdings signiert sein müssen) an Secure Boot vorbei zu laden. Die Dokumentation dieser Policy gelangte ins Netz und könnte nun auch von Hackern benutzt werden, so der Vorwurf.

Die beiden Entdecker der Lücke, die sich MY123 und Slipstream nennen, haben Microsoft nach eigener Aussage über die Schwachstelle informiert und seien zunächst abgeblitzt. Dann habe sich Microsoft aber anders entschieden und im Rahmen des Bug Bounty Programms eine Belohnung bezahlt. Es folgten zwei Sicherheitsupdates, MS16-094 im Juli und MS16-0100 im August. Diese würden, so wird zumindest behauptet, aber nicht das eigentliche Problem beheben, sondern nur dessen Folgen eingrenzen.

Ich habe bisher nirgends einen Bericht gefunden, in dem das Szenario erfolgreich reproduziert wurde. Alles, was wir haben, sind diese zwei Menschen, die erzählen, dass es so sei – und unzählige Medien, die es nacherzählen, so wie ich jetzt hier auch.

Was ich mit meinem Grundwissen über Secure Boot dazu sagen kann, ist:

Nach wie vor lässt sich Secure Boot auf den allermeisten PCs deaktivieren, hier sind also derlei Klimmzüge gar nicht nötig, um eigenen Code einzuschleusen, um z.B. ein anderes Betriebssystem zu installieren.

Die Gefahr, dass hierdurch trotz aktiviertem Secure Boot Schadcode ins System gelangen könnte, scheint nicht gegeben, die wird von den beiden Enthüllern auch gar nicht erst ins Spiel gebracht. DAS wäre für mich ein Grund, von einem Sicherheits-Debakel zu sprechen. Doch dies scheint wie gesagt nicht der Fall zu sein.

Sofern die Lücke durch die beiden Patches tatsächlich noch nicht beseitigt wurde, könnte sie dazu benutzt werden, auf den Geräten, bei denen Secure Boot nicht abschaltbar ist, ein anderes System als Windows zu installieren. Linux auf dem Surface, Android auf dem Lumia? Ohne genauere Details zu können, scheint das zumindest denkbar – ob das dann überhaupt vernünftig liefe, steht natürlich auf einem anderen Blatt.

Zusammenfassend kann man sagen, dass Microsoft offenbar einen Fehler gemacht hat, der zu einer grundsätzlichen Verwundbarkeit von Secure Boot in Windows 10 geführt hat. Durch die Auszahlung der Belohnung und die Veröffentlichung der beiden Patches haben sie das öffentlich eingestanden. Ob es dadurch aber wirklich zu unerwünschten und unbemerkten Effekten kommen kann, die den Anwender gefährden, kann derzeit offenbar nicht endgültig geklärt werden. Ich hoffe sehr, dass sich Microsoft zu dem Thema offiziell äußert und/oder jemand mit der entsprechenden Kompetenz das Szenario nachstellt.

Abschließend noch zwei unsachliche Links, wie sie unterschiedlicher nicht sein könnten: heise haut ordentlich drauf und versucht sich gar nicht erst an einer nüchternen Darstellung, während man bei Petri die ganze Sache offenbar für derart hanebüchen hält, dass man seine ganz eigene Form der Darstellung gewählt hat.

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige