Thunderstrike 2: Mac-Firmware-Wurm soll sich über Thunderbolt-Adapter verbreiten
Weitere EFI-Schwachstellen ermöglichen nach Angabe von Sicherheitsforschern die Modifikation der Firmware mobiler Macs. Ein Angreifer könne dadurch einen Schädling einschleusen, der sich über Thunderbolt-Adapter und Peripherie fortpflanzt.
Ein Sicherheitsforscher hatte mit "Thunderstrike" bereits einen EFI-Angriff auf Macs per Thunderbolt demonstriert
(Bild: Trammell Hudson)
- Leo Becker
Mit "Thunderstrike 2" haben Sicherheitsforscher einen neuen Schädling konstruiert, der sich in der Firmware mobiler Macs festsetzen kann und sich dadurch zugleich der Entdeckung durch gängige Schutzmechanismen entziehen soll. Der Schädling überstehe sowohl die Neuinstallation des Betriebssystems als auch den Wechsel von SSD oder Festplatte.
Drei EFI-Schwachstellen erlauben die Modifikation der Firmware bei MacBook-Modellen, erklären die Forscher Xeno Kovah und Trammel Hudson gegenüber Wired. Das Einschleusen der Schadsoftware sei auch aus der Ferne möglich, beispielsweise über eine manipulierte Webseite.
Wurm soll sich über Adapter und Peripherie verbreiten
Ist die Boot-Flash-Firmware erst infiziert, halte der Schädling nach Peripherie mit Option ROM Ausschau wie beispielsweise Apples Thunderbolt-auf-Ethernet-Adapter: Sobald der Nutzer einen Adapter anschließt, wird dessen Firmware ebenfalls manipuliert und überträgt die Malware anschließend auf den nächsten Mac, an den das Accessoire angesteckt wird – sobald dieser mit angestöpseltem Adapter neu hochfährt.
Dieser Wurm verbreitet sich nicht nur über Apples Adapter-Kabel, betonen die beiden Forscher, er könne ebenso über das Option ROM einer externen SSD oder eines RAID-Controllers übertragen werden. Auf diese Weise lasse sich auch in abgesicherte Unternehmensbereiche eindringen, in denen ein Angriff über Netzwerkverbindungen keine Option sei.
Ein Angreifer könne zur wahllosen Infektion außerdem modifizierte Ethernet-Adapter über eBay anbieten oder versuchen, die Kabel-Firmware schon bei der Produktion zu modifizieren. "Nutzer sind sich nicht bewusst, dass diese kleinen billigen Geräte ihre Firmware infizieren können", erklärt Kovah.
Kovah und Hudson wollen weitere Details der Angriffstechnik auf einem Vortrag bei der Black-Hat-Konferenz in Las Vegas nennen sowie Tools veröffentlichen, um das Option ROM von Peripherie auf Modifikationen hin zu überprüfen. Die Boot-Flash-Firmware des Macs lasse sich damit jedoch nicht kontrollieren.
Erste Schwachstelle beseitigt
Insgesamt haben die Forscher fünf EFI-Schwachstellen bei MacBook-Modellen ausgekundschaftet und diese an Apple gemeldet. Der Mac-Hersteller hat bislang offenbar eine der Lücken ganz und eine weitere teilweise beseitigt.
Hudson hatte bereits zum 31C3 mit dem ersten Thunderstrike-Angriff für Aufsehen gesorgt, Apple beseitigte diese Lücke mit OS X 10.10.2. Kovahs BIOS-Rootkit LightEater nutzt Schwachstellen in der UEFI-Firmware verschiedener Hersteller. Man habe klarstellen wollen, dass davon nicht nur Windows-PCs betroffen sind, sondern "so ziemlich alle x86-Computer", so der Forscher: Nutzer sollten Hersteller dazu drängen, die Firmware besser abzusichern.
[Update 4.08.2015 15:50 Uhr] Zur Modifizierung der Firmware nutzt auch Thunderstrike 2 die dyld-Rechteausweitungslücke, die inzwischen auch zur Installation von Adware verwendet wird. (lbe)
