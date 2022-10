Eigentlich ist die Sicherheitsfunktion UEFI Secure Boot eine gute Sache. Sie verhindert durch Überprüfungen, dass Computer manipulierte Betriebssysteme starten. Das ist besonders gefährlich, weil sich Angreifer so von Nutzern unbemerkt tief in PCs verankern und Schindluder treiben können. Um mit Schadcode präparierte Systeme vor dem Start zu enttarnen, prüft Secure Boot die Signatur von jedem Bootloader. Ist er nicht von Microsoft signiert, verweigert der Computer den Systemstart.

Microsoft hat kürzlich ein Windows-Sicherheitsupdate (9. August 2022 KB5012170) veröffentlicht, um Secure Boot sicherer zu machen. In den Standardeinstellungen installiert sich der Patch automatisch und spielt eine sogenannte Revocation List ins UEFI-BIOS, die diverse Bootloader mit bekannten Sicherheitslücken sperrt. Darunter befindet sich auch der Bootloader von Ubuntu 20.04 LTS, den Desinfec’t nutzt. Seitdem startet das Sicherheitstool auf Computern mit aktiviertem Secure Boot nicht mehr.

Wer seinen PC damit scannen will, müsste die Funktion für den Start von Desinfec’t temporär deaktivieren. Aus Sicherheitsgründen sollte man das aber nicht tun. Außerdem könnte das zu Problemen mit via Bitlocker verschlüsselten Festplatten führen und Sie könnten sich im schlimmsten Fall vom Zugriff auf Ihre eigenen Daten aussperren. Die Deinstallation des Updates hilft in diesem Fall übrigens nicht, da die Revocation List im Flash-Speicher des Motherboards liegt.

Das Problem

Ende August machte uns ein Thread im offiziellen Desinfec’t-Forum auf das Problem aufmerksam und wir setzten unseren Entwickler darauf an. Die Lösung war schnell klar: Der Bootloader muss getauscht werden. Doch das ist leichter gesagt als getan.

Das liegt am komplexen Aufbau eines Desinfec’t-Sticks. Er besteht aus mehreren Partitionen, darunter die System-Partition, die sich nach jedem Neustart aus Sicherheitsgründen in den Ausgangszustand zurückversetzt, und eine Partition für aktualisierte Virensignaturen, die dauerhaft gespeichert werden. Ganz am Anfang des Sticks befindet sich das ISO mit dem inkompatiblen Bootloader. An die Boot-Partition kommt man aber nicht ohne Weiteres dran. Da wir den aktualisierten Bootloader in der Dateistruktur bildlich gesprochen nur hinter dem inkompatiblen Bootloader platzieren konnten, klappte der Tausch auch nach mehreren Anläufen nicht. Aufgrund der beschriebenen Anordnung sah unser Test-PC beim Booten vom Stick stets den inkompatiblen Bootloader als Erstes, mit dem der Start weiterhin fehlschlug. Eine Reparatur bestehender Desinfec’t-Sticks ist also nicht möglich.

Mit dieser Erkenntnis entschieden wir uns dazu, die ISO-Datei von Desinfec’t 2022 zu überarbeiten; die neue Version steht inzwischen zum Download bereit. Erstellen Sie damit einen neuen Stick, startet Desinfec’t 2022 wieder mit aktiviertem Secure Boot.

Im Folgenden zeigen wir auf, wie der Patchvorgang funktioniert. Wer die alte ISO-Datei noch auf der Festplatte gespeichert hat und sich den 4 GByte umfassenden Download des aktualisierten ISO-Image sparen möchte, kann das als Anleitung nutzen, um Desinfec’t 2022 selbst mit dem kompatiblen Bootloader auszustatten und es auf einem USB-Stick zu installieren. Das im c’t-Sonderheft enthaltene Desinfec’t 2022/23 bringt den aktualisierten Bootloader übrigens ab Werk mit.