IGEL OS

Die Schwachstelle steckt im Modul igel-flash-driver des Betriebssystems IGEL OS, das auf Thin Clients zum Einsatz kommt. Das Modul prüft eine kryptografische Signatur fehlerhaft – konkret wird ein Schlüssel akzeptiert, dessen Gültigkeit bereits abgelaufen ist. Dadurch lässt sich der Schutzmechanismus Secure Boot umgehen, der eigentlich sicherstellen soll, dass beim Systemstart nur unveränderte, vom Hersteller signierte Software geladen wird. Ein Angreifer kann ein präpariertes SquashFS-Abbild bereitstellen und daraus ein manipuliertes Root-Dateisystem einhängen, obwohl dieses nicht verifiziert wurde. Damit erhält untergeschobener, nicht vertrauenswürdiger Code bereits in einer frühen Phase des Startvorgangs die Kontrolle über das System. Weil der Angriff an der Vertrauenskette des Bootvorgangs ansetzt, lassen sich Manipulationen im laufenden Betrieb kaum noch erkennen und herkömmliche Schutzmaßnahmen oberhalb des Betriebssystems greifen nicht zuverlässig.