Krautkanal.com

Veröffentlicht am 2016-11-15 17:02:37 in /c/

/c/ 215162: root in 70 Sekunden

chris_frees Avatar
chris_frees:#215162

Linux ist echt Benutzer-freundlich, es gestatt sogar den Leuten Zutritt, die nicht deren benutzer sind :3

https://www.heise.de/newsticker/meldung/Enter-Taste-verschafft-Angreifern-Root-Rechte-auf-verschluesselten-Systemen-3466574.html

> Hält man auf einem verschlüsselten Linux-System bei der Passwort-Eingabe für 70 Sekunden die Enter-Taste gedrückt, öffnet sich eine Shell, die Befehle mit Root-Rechten ausführt. Klingt komisch, ist aber so.

doronmalki Avatar
doronmalki:#215163

>>215162
Linugs machdn gudn Dschobb

remiallegre Avatar
remiallegre:#215164

Und was soll das bringen? Das System ist auch für Root verschlüsselt.

starburst1977 Avatar
starburst1977:#215165

>>215164
> ich hab den Artikel zwar nicht gelesen aber reiß trotzdem mal meine unqualifizierte Fresse auf

mikaeljorhult Avatar
mikaeljorhult:#215166

>>215165
Ich habe den Artikel zwar nicht gelesen, aber du hast ihn wohl nicht verstanden.

>Ein Angreifer kann auf diese Weise zwar auf das System zugreifen, die verschlüsselten Partitionen kann er ohne Kenntnis der passenden Passphase jedoch weiterhin nicht entschlüsseln.

ah_lice Avatar
ah_lice:#215167

>>215166
Dann lies mal weiter du Vollzeitmongo.

iqbalperkasa Avatar
iqbalperkasa:#215168

>>215167
Vielleicht solltest du die Stelle einfach einmal hervorheben. Dir ist es offensichtlich wichtig verstanden zu werden, da kannst du ruhig mal etwas ausführlicher werden.

andrewgurylev Avatar
andrewgurylev:#215169

>>215168
>In einer solchen Situation wird die Lücke für den Angreifer interessant: Er zwingt das System zu einem Reboot (etwa durch eine Unterbrechung der Stromversorgung), wartet auf das Passworteingabefeld von Cryptsetup und hält einfach die Enter-Taste für 70-80 Sekunden gedrückt – schon hat er Root. Über die Shell könnte er zum Beispiel die verschlüsselten Partitionen kopieren und versuchen, später in Ruhe das Passwort zu knacken. Er könnte aber auch einen Trojaner hinterlassen, der das Passwort mitschneidet oder die Partitionen (und damit auch das System) schlicht zerstören.

Nicht er btw

oanacr Avatar
oanacr:#215171

Ich habe alle meine Systeme mit Crypt/Luks verschlüsselt, so weit die Bootpartition auszugliedern und das gegen fremde Bootpartitionen zu schützen bin ich aber auch nicht gegangen. Der exploit verändert für Leute wie mich also gar nichts.

macxim Avatar
macxim:#215173

>>215169
Wenn ich 60 Sekunden mit dem Rechner alleine bin, dann fallen mir aber deutlich einfache/bessere Lösungen ein um an die Daten zu kommen.

hota_v Avatar
hota_v:#215176

[l] Einer der dedizierten Server meiner Firma steht bei Hetzner.
Von dort aus wollte ich jetzt eine E-Mail an jemanden bei live.com schicken. Die hat deren Mailserver direkt abgelehnt, weil anscheinend Hetzners IP-Range bei denen abgewiesen wird. Ich weiß mit Sicherheit (und wir haben diese IP schon über ein Jahr), dass von dort aus noch nie ein Spam oder Newsletter oder Kaltacquise oder irgendwas auch nur entfernt nach Spam Riechendes rausging. Und letztes Jahr ging Mail an live.com noch. Daher meine Schlussfolgerung, dass die Blockage ganze Subnetze bei Hetzner betrifft, wenn nicht gar den ganzen Laden.

Aber deshalb blogge ich das nicht. Ich blogge das, weil ich ein Ticket bei Hetzner aufgemacht habe. Und als Antwort kam, ich (!) solle mich doch bitte persönlich in einen Dialog mit Microsoft (!!) begeben, um für meine IP bei denen eine Ausnahmeregelung auszuhandeln.

Lange habe ich mich nicht mehr über etwas so aufgeregt. Die externalisieren schlicht die Aufräumkosten für ihre nicht existierende Spamverhinderung an ihre nicht spammenden Kunden. Was für eine Frechheit.

Hey, soll ich auch gleich noch den Fußboden auskehren und das Klopapier wechseln?

Boah da krieg ich echt Blutdruck bei sowas. Ich guck mich mal nach anderen Hostern um. Unglaublich.

joeymurdah Avatar
joeymurdah:#215179

>>215176
Microsoft Forefront Services sind nicht halb so schlimm wie spamhaus.org

suprb Avatar
suprb:#215184

>>215162
> es gestatt sogar den Leuten Zutritt
> Zutritt

Ich glaube nicht, das du den Artikel und die Auswirkungen dieses Käfers verstanden hast.

bagawarman Avatar
bagawarman:#215186

>>215173
Die ohne vorbereitungen und mitgeführtes Material durchführbar sind?
Lass mal hören.

vaughanmoffitt Avatar
vaughanmoffitt:#215188

>>215186
Was kannst du denn ohne Vorbereitungen und mitgefuehrtes Material in der Root-Shell mit verschluesselten Festplatten und ohne Netzwerkzugriff machen?
Lass mal hoeren ...

michaelkoper Avatar
michaelkoper:#215189

>>215188
Lies den Artikel und weich nicht aus, Schwafelbacke.
Was kannst du besseres machen?

marciotoledo Avatar
marciotoledo:#215190

>>215189
Warum soll ich den Artikel nochmal lesen? Das einzige was man ohne mitgebrachter Hardware dank diesem Bug machen kann ist das Loeschen oder Ueberschreiben der Partitionen, fuer alles andere braucht man Internetzugriff oder muss einen Speicher mitbringen.
Wenn man ohnehin physikalischen Zugriff auf den Rechner hat und Zeit um 100x Enter zu druecken kann man sowieso mit dem Rechner machen was man will.
Bei ner unveraenderten Debian/Ubuntu/...-Installation kann man auch einfach im Bootloader in den Recovery Mode starten und hat genau den selben Effekt, sogar mit Treibern fuer Netzwerkzugriff.

commoncentssss Avatar
commoncentssss:#215192

>>215186
Warum sollte ich bei einem Angriff nicht vorbereitet sein? Ich habe mir doch bereits physikalischen Zugriff zum Rechner verschafft. Ich hatte mir also einen Plan überlegt zum Rechner zu kommen, aber nicht was ich dann machen werde? So dumm kann doch keiner sein.

kinday Avatar
kinday:#215199

>>215192
Wenn du physichen Zugang hast, dann kannst du auch ohne diese Lücke einen Keylogger auf die Stiefelpartition schreiben oder die verschlüsselten Partitionen kopieren.

areus Avatar
areus:#215200

>>215186
Das Teil einpacken, was sonst?

haydn_woods Avatar
haydn_woods:#215207

Was ich mich frage ist, ob der Exploit auch GRUB_ENABLE_CRYPTODISK=y betrifft.

(https://wiki.archlinux.org/index.php/GRUB#Boot_partition)

davidtoltesy Avatar
davidtoltesy:#215209

>>215207
Kann ja nicht, denn dann braucht man das Entschluesselungspasswort ja schon bevor das initramfs geladen wird. Der Bug ist ja im initramfs.

marciotoledo Avatar
marciotoledo:#215230

Lass den Dicken mal darüber schreiben! Wette das ist ihm zu heiß.

subburam Avatar
subburam:#215253

>>215230
Ich würde vermuten es ist ihm eher zu uninteressant.