Startfreigabe
Secure Boot und Startverbote unter Linux
Secure Boot soll Bootviren und anderem Schadcode vorbeugen, indem das UEFI-BIOS nur signierte Bootloader und Kernel startet. Das gilt auch für Linux. Falls nachträglich Sicherheitslücken auftauchen, werden Signaturen per Revocation List widerrufen. Der Platz im BIOS-Flashspeicher ist allerdings knapp, weshalb neue Techniken entwickelt wurden.
Microsofts Ankündigung lässt allerhand Raum für Spekulationen: Man werde am 9. April oder später „zusätzliche anfällige Start-Manager … blockieren“, schreibt der Softwarehersteller im Knowledge-Base-Artikel KB5025885. Dieser bezieht sich auf die Secure-Boot-Sicherheitslücke CVE-2023-24932 alias „Black Lotus“, die Microsoft in einem mehrstufigen Update schließen möchte. Was das für Windows-Anwender bedeutet, haben wir [1] bereits ausführlich beschrieben. Linux war von Black Lotus nicht betroffen, sodass in dem zu erwartenden Update der Revocation List (Secure Boot Forbidden Signature Database, DBX) der nicht mehr vertrauenswürdigen Bootloader keine Linux-Bootloader auftauchen sollten. In unseren Tests wurden auf manchen Rechnern trotzdem Einträge für Linux-Bootloader hinzugefügt, als wir das bevorstehende Update manuell durchführten.
Wir raten ausdrücklich davon ab, es selbst zu aktivieren. Erst in Phase 4, die am 8. Oktober 2024 beginnen soll, wird es zwangsweise von Windows eingespielt. Umso kryptischer ist Microsofts Ankündigung, man werde in Phase 3 ab 9. April zusätzliche Bootmanager blockieren. Bis Redaktionsschluss Anfang April bekamen wir keine Antwort, ob Linuxsysteme von den bevorstehenden zusätzlichen Sperrungen betroffen sein könnten oder nicht. Um die Linux-Bootloader zu sperren, die von der Anfang Februar 2024 bekannt gewordenen HTTP-Boot-Lücke betroffen sind, soll aus Platzgründen eine neue Technik, Secure Boot Advanced Targeting (SBAT), zum Einsatz kommen. Das dürfte mit den für den 9. April angekündigten Sperrungen also nichts zu tun haben. Da sich vorab nicht sagen lässt, was sich Anfang April ändert und inwiefern Linux davon betroffen sein wird, geben wir Ihnen einen generellen Überblick, was Windows Updates mit Linux-Bootloadern zu tun haben und wie das neue Secure Boot Advanced Targeting verwundbare Bootloader sperrt.