Firmware zerstört MacBook Pro

Sicherheitsexperten haben auf der diesjährigen RSA Conference in San Francisco einen Angriff durch eine bösartig modifizierte Firmware für ein Apple Macbook Pro präsentiert, die die Hardware unbenutzbar macht. Rettung durch das anschließende Aufspielen einer intakten Firmware gibt es nicht. Der Angriff funktioniert prinzipiell bei allen Notebooks und Desktop-PCs, deren Update-Routinen keinen Signatur-Check vor dem Einspielen der Firmware erzwingen.

Am Ende der Demonstration war das MacBook Pro 13 Zoll nur noch ein teurer Briefbeschwerer: Weder der Akku lud noch passierte etwas nach einem Reset des System Management Controller (SMC) oder dem Drücken des Netzschalters. Die Hardware wurde kurz zuvor live durch ein vermeintlich harmloses Firmware-Update unbrauchbar gemacht: Dmitri Alperovitch, CTO von CrowdStrike, erklärte, dass das Update die Firmware des SMC zerstört, der für das Funktionieren des Notebooks unabdingbar ist. Details über die genaue Modifikation wollten er und sein Kollege George Kurtz nicht nennen – außer, eine Original-Apple-Firmware als Grundlage verwendet zu haben. Sie wollen kriminellen Nachahmern keine Vorlage liefern.

Sie sagten jedoch auch, dass dieser Angriff prinzipiell mit jeglicher moderner Hardware funktioniert. Im Fall einer Windows-Maschine eines beliebigen (Mainboard-)Herstellers müsste die Firmware des ACPI EC (Embedded Controller) angegriffen werden, um den gleichen Effekt zu erzielen wie beim Apple-Notebook. Dies sei den Experten zufolge auch nicht aufwändiger als im Fall des Apple-Geräts. Mit dem Unterschied, dass im Windows-Umfeld für jeden ACPI-EC-Typ eigener Schadcode geschrieben werden müsste. Dies macht die massenhafte Verbreitung einer solchen Malware in der Praxis schwieriger. Außerdem schreibt Microsoft in den Logo-Requirements für Windows-8-Rechner eine Firmware nach UEFI-Spezifikation 2.3.1 vor sowie ausdrücklich eine Signaturprüfung bei Updates, möglichst nach der Spezifikation NIST SP800-147.

Der sogenannte ACPI-EC ist bei Mainboards von Windows-Rechnern oft im sogenannten Super-I/O-Chip integriert. Der genaue Funktionsumfang variiert je nach Ausstattung des Systems.

Prinzipiell lässt sich ein solcher Angriff auch aus der Ferne auslösen. Ausführbarem Code von gekaperten Webservern aus unterzuschieben ist zumindest im Windows-Umfeld bereits gang und gäbe. Und auch der Mac ließe sich ohne Zutun des Anwenders infizieren, wenn es dem Angreifer gelingt, die Passwortabfrage während der Installation des Schädlings zu umgehen. Alternativ böte sich eine Spear-Phishing-Attacke an: Per E-Mail wird dem Opfer das Update angekündigt, der eingefügte Link führt zum Download der Firmware. Wie sich seinerzeit beim Flashback-Trojaner zeigte, geben viele Mac-Besitzer in solchen Fällen bereitwillig ihr Admin-Kennwort ein, um das vermeintliche Update zu installieren.

Alperovitch und Kurtz demonstrierten noch einen zweiten Angriff, der die Hardware ebenfalls so stark in Mitleidenschaft ziehen kann, dass sie dauerhaft ausfällt: Per Shell-Skript legten sie die Lüfter im Notebook lahm und lasteten anschließend die CPU vollkommen aus. Binnen Sekunden stieg die Prozessor-Temperatur auf knapp 100 Grad. Laut George Kurtz würde das Notebook in diesem Zustand nach wenigen Minuten irreparable Schäden erleiden. Stünde es auf einer brennbaren Oberfläche, könnte diese aufgrund des heißen Gehäusebodens Feuer fangen. Moderne Prozessoren besitzen allerdings Funktionen, um sich vor Überhitzung zu schützen – von denen manche aber wiederum vom BIOS beziehungsweise der UEFI-Firmware abgeschaltet werden können.

Dass sich die Lüfter vieler Rechner per Software ansteuern lassen, ist dabei nicht neu: Beispielsweise nutzt das Windows-Programm SpeedFan diese Möglichkeit, um laute Lüfter per Ansteuerung über den am Mainboard-Chipsatz angebundenen System Management Bus (SMBus, I2C) langsamer drehen zu lassen. Auch viele Hardware-Monitoring- und Übertaktungs-Tools für Mainboards verwenden diese Steuerungsmöglichkeit. Dafür ist kein Eingriff in die Firmware nötig – aber wiederum müssen für viele Mainboards beziehungsweise unterschiedliche Hardware-Monitoring-Chips genau angepasste Steuerbefehle programmiert werden.

Schutz vor der bösartigen Firmware böten nach Ansicht der Experten digitale Signaturen der Softwarepakete. Einzelne Mainboard-Hersteller setzten diese bereits voraus, seien aber in der Minderzahl. (rei)