Linux-Sicherheitslücke ermöglicht „Evil Maid“-Angriffe

VonJörn Schmidt
Hacker am PC
Foto von Clint Patterson auf Unsplash

Hallo Du, um keine News zu verpassen abonniere doch einfach kostenlos meine Kanäle, vielen Dank:

Eine aktuelle Sicherheitsanalyse des Forschungsteams von ERNW hat eine schwerwiegende Schwachstelle in populären Linux-Distributionen wie Ubuntu und Fedora aufgedeckt. Diese Lücke erlaubt es Angreifern mit kurzzeitigem physischem Zugriff, die Festplattenverschlüsselung zu umgehen und dauerhaft Malware auf Systemebene einzuschleusen.

Die Forscher haben gezeigt, dass selbst Systeme, die mit Mechanismen wie Secure Boot und einem gesicherten Bootloader-Passwort ausgestattet sind, durch diese Lücke vollständig unter Kontrolle gebracht werden können. Der Angriffsvektor ist dabei besonders clever: Er nutzt den Startprozess eines Linux-Geräts aus – und zwar an einer Stelle, an der kaum Schutzmaßnahmen greifen.

Das Initial RAM Filesystem (initramfs) ist ein vorübergehendes Dateisystem, das während des Starts eines Linux-Rechners zum Einsatz kommt. Es bereitet den Start des eigentlichen Betriebssystems vor. Doch genau dieses Modul enthält nun das Problem: Es wird nicht digital signiert, anders als Kernel und seine Module.

Durch mehrmalige Eingabe eines falschen Entschlüsselungspassworts kann ein Hacker das System dazu bringen, in eine Debug-Shell auf niedriger Ebene zu wechseln. Von dort aus ist es möglich, das initramfs zu manipulieren – bösartige Skripte einzufügen und anschließend wieder zusammenzupacken, ohne dass der Nutzer etwas davon bemerkt.

Folgen des Angriffs: Malware mit Root-Rechten

Sobald der rechtmäßige Besitzer sein Gerät neu startet und das korrekte Passwort eingibt, läuft die versteckte Malware mit vollständigen Administratorrechten. Damit kann sie:

  • Verschlüsselungsschlüssel stehlen
  • Tastatureingaben protokollieren
  • Daten heimlich kopieren oder senden

Die Forscher betonen jedoch, dass es sich hierbei nicht um einen klassischen Softwarefehler handelt, sondern eher um ein Designproblem, das auf Wiederherstellbarkeit statt auf Sicherheit ausgelegt ist. Überraschend ist, dass dieser Angriffsvektor bislang weder in Hardening Guides noch in offiziellen Sicherheitsrichtlinien berücksichtigt wurde.

So kannst du dich schützen

Glücklicherweise gibt es bereits eine schnelle Lösung, die Nutzer und Administratoren umsetzen können:

  1. Bearbeite die Konfigurationsdatei für den Bootloader.
  2. Füge folgende Option hinzu: panic=5 oder rd.shell=0.
  3. Dadurch wird nach mehreren fehlgeschlagenen Login-Versuchen entweder ein Neustart ausgelöst oder die Debug-Shell deaktiviert.
  4. Starte das System neu, damit die Änderungen aktiv werden.

Mit dieser Maßnahme wird der Angriffsraum geschlossen, bevor ein Angreifer die Shell nutzen kann.


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert