Apple-Rechner sind für Firmware-Exploits ebenso anfällig wie Windows-PCs

Der Wurm Thunderstrike 2 bleibt von der meisten Sicherheitssoftware unentdeckt und überlebt sogar eine Neuformatierung des Systems. Bisher gingen viele Beobachter davon aus, dass Apples geschlossenes System sicherer sei. Das muss nun überdacht werden.

Die Sicherheitsforscher Trammell Hudson, Security Engineer bei Two Sigma Investments und Xeno Kovah, Geschäftsführer des auf IT-Sicherheit spezialiserten Beratungsunternehmens LegbaCore, haben nachgewiesen, dass Rechner mit Mac OS für Angriffe auf Firmware-Ebene ebenso anfällig sind, wie Windows-PCs. Ihnen gelang es, mehrere bekannte Schwachstellen in der Firmware von PCs der wichtigsten Hersteller auch auszunutzen, um Mac-Rechner zu infizieren. Wie Wired berichtet, kann sich der von en Forschern Thunderstrike 2 genannte Wurm zudem ebenso über Netzwerkgrenzen hinweg ausbreiten, wie man das von seinen Pendants aus der Windows-Welt kennt. Thunderstrike 2 greift zum Beispiel Ethernet-Adapters und SSDs an und kann sich verbreiten, wenn diese an einen Mac angeschlossen werden. Ausgang eines Angriffs könnte eine infizierte E-Mail oder Website sein.

Derartige Angriffe sind zwar ausgesprochen komplex, aber aufgrund der Tatsache, dass sie nur sehr schwer zu entdecken und ebenso schwer abzuwehren sind – beziehungswiese betroffene Rechner nur sehr schwer wieder in einen sauberen Zustand gebracht werden können – insbesondere bei Geheimdiensten beliebt, die auch den dafür erforderlichen Aufwand betreiben können. Denn auch mit Firmware- oder Betriebssystem-Updates ist ihnen in der Regel nicht beizukommen.

Da ein Firmware-Update auf die bestehende Firmware zurückgreift, kann eine dort vorhandene, schädliche Komponente Updates entweder verhindern oder sich im Verlauf des Updates einfach selbst neu installieren. Dass diese Art von Angriffen allerdings nicht mehr nur von Geheimdiensten durchgeführt werden kann zeigte ein im vergangenen Jahr von Kaspersky Lab entdecktes Firmware-Hacking-Tool und eine im Februar ebenfalls von Kaspersky Labs aufgedeckte Möglichkeit, die Firmware von Festplatten anzugreifen.

MacBook-2015 (Bild: ZDNet.de)Hinter dem Apfellogo auf dem MacBook 2015 nutzt Apple tief im System viele Referenzimplementierungen, auf die auch PC-Hersteller zurückgreifen – wodurch beide Computer-Kategorien auf dieser Ebene zum Teil für dieselben Angriffe verwundbar sind (Bild: ZDNet.de)

Die einzige Möglichkeit, die so eingeschleuste Malware loszuwerden ist es, den Chip mit der Firmware zu flashen. Gegenüber Wired sagt Xeno Kovah daher: „Der Angriff ist wirklich schwer zu entdecken, man wird ihn nur wirklich schwer wieder los und es ist wirklich schwer, sich gegen etwas zu schützen, was innerhalb der Firmware läuft.“ Die meisten Betroffenen könnten nur ihren Rechner wegwerfen, da sie nicht in der Lage seien, ihn tatsächlich auseinander zu nehmen und die verbauten Chips zu reprogrammieren.

Der Code von Thunderstrike basiert auf Forschungen, die LegbaCore im vergangenen Jahr präsentiert hat. Damals stellten die Berater mit LightEater eine Malware vor, die sechs Schwachstellen ausnutzt, die auf 80 Prozent der von ihnen untersuchten PCs, darunter solchen von Dell, HP und Lenovo, vorhanden waren. Fünf der Schwachstellen lassen sich auch für Angriffe auf Macs nutzen. Grund sei, dass PC-Hersteller und Apple dazu neigten, sich auf dieselben Referenzimplementierungen zu stützen.

Mit der im vergangenen Jahr gezeigten Malware LightEater waren Kovah und sein damaliger Mitarbeiter Corey Kallenberg auch in der Lage, die Kontrolle über den System-Management-Modus zu übernehmen, eine Funktion von Intel-Prozessoren, die es einer Firmware erlaube, bestimmte Aufgaben mit Rechten auszuführen, die sogar Administrator- oder Root-Rechte übertreffen. Damit war es ihnen möglich, Teile des BIOS-Chips neu zu schreiben und anschließend Rootkits zu installieren und Passwörter oder andere Daten von einem infizierten System zu stehlen. Die Malware konnte auch Speicherinhalte auslesen, wodurch auch die Verschlüsselung des Betriebssystems ausgehebelt wurde. Wie genau Thunderstrike 2 funktioniert, wollen Kovah und Hammond auf der Black Hat-Konferenz am 6. August vorführen.

Apple sei über die Sicherheitsprobleme informiert worden und habe zumindest eine davon geschlossen und eine zweite teilweise behoben. „Einige Anbieter wie Dell und Lenovo haben sich sehr bemüht Schwachstellen schnell aus ihrer Firmware zu entfernen“, erklärte Kovah gegenüber Wired. „Die meisten anderen Anbieter, darunter auch Apple, haben das jedoch nicht getan.“

Im Juni hatte der Sicherheitsforscher Pedro Vilaca unabhängig von Kovah und Hammond eine Schwachstelle in der Firmware älterer Mac-Modelle gefunden. Davon waren Macs betroffen, die vor Mitte 2014 hergestellt wurden. Der Fehler erlaubt es, das Unified Extensible Firmware Interface (UEFI) zu manipulieren und Rootkits einzuschleusen. Darauf haben Nutzer normalerweise keinen Zugriff. Allerdings wird der Code entsperrt, sobald ein Mac aus dem Ruhezustand aufgeweckt wird. Dann ist es Vilaca zufolge möglich, den Code zu verändern.

Ein Bestandteil von UEFI ist die Sicherheitsfunktion Secure Boot. Sie soll das Booten auf signierte Bootloader beschränken und damit verhindern, dass Schadsoftware oder andere unerwünschte Programme den Start des Betriebssystems manipulieren. Vilaca zufolge kann über die Schwachstelle aber auch ein Rootkit installiert und damit Secure Boot umgangen werden.

 

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Neueste Kommentare 

13 Kommentare zu Apple-Rechner sind für Firmware-Exploits ebenso anfällig wie Windows-PCs

Kommentar hinzufügen
  • Am 4. August 2015 um 10:18 von Mac-Harry

    Das alles funktioniert jedoch nur, wenn der Mac nicht durch ein Firmware Passwort geschützt wurde. Jede vernünftige Sicherheits Einstellungen bei einem Mac, setzt jedoch voraus, dass ein Firmware Passwort durch den Administrator oder den Anwender gesetzt wird. So gesehen ist dieser Schädling absolut irrelevant. Das ist in etwa vergleichbar mit einem WLAN ohne Passwort. Welcher Mac Anwender, lässt seine Firmware nicht durch ein Passwort schützen? Das ist mal wieder ein Sturm im Wasserglas, der in der Realität keine Bedeutung hat. Aber halt, natürlich ist die PR Maschinerie hier kräftig in Gang und es hat zumindest eine Bedeutung für die Aufmerksamkeit. Nicht jedoch für die Sicherheit am Mac. Es soll ja auch Menschen geben, die ihren PC nicht durch ein Passwort schützen. Das ist vergleichbar mit einer Firmware, die nicht durch ein Passwort geschützt ist und somit anfällig ist für diesen Wurm.

    • Am 4. August 2015 um 13:02 von momo

      Hi,Hi ….da spricht der aufgeschreckte Mac-Fanboy der gleich loslief und ein Passwort setzte damit seine Weltbild nicht ins Wanken gerät….

    • Am 4. August 2015 um 14:09 von Schon komisch

      Schon komisch lieber Harry, wenn bei Windows Systemen oder Androiden oder oder, davon die Rede ist, dass „vernünftige“ Einstellungen und Umgang mit der Technik dem und jenem Problem vorbeugt, dann ist Deine Argumentation, dass eben dass nicht passiert, weil die Anwender ja per se irgendwie zu doof oder zu faul für sowas sind. Die Mac-Anwender dagegen sollen alle vernünftige Sicherheitseinstellungen haben? Wo doch ein Mac überhaupt keine Sicherheitssachen braucht, weil er per se ja totsicher ist? Eigentlich sollte man dich ja einfach schreiben lassen – don’t feed the troll – aber deine einseitigen Sichten nerven echt übelst. Was ein Sturm im Wasserglas ist, und wie die Realitäten aussehen, bestimmst sicher nicht Du und Deine Sichtweise!

      • Am 4. August 2015 um 16:34 von Mac-Harry

        „Schon komisch“, heute einen schlechten Tag im Job gehabt und hier den emotionalen Blitzableiter gesucht? Wahrscheinlich. Egal. Zur Sache: Kein Mensch behauptet, dass ein Mac keine Sicherheitslücken hat. Richtig ist auch, dass Du diese an einer Hand zählen kannst und kommt eine Lücke dazu, ist es eine Schlagzeile wert, denn davon gibt es nur eine Hand voll im Jahr. Wie viele Lücken hat doch gleich ein PC? Ich meine, wie viele kommen pro Tag dazu? Viel Spass beim zählen :-)

        • Am 5. August 2015 um 8:33 von Billiges Argument

          Och Harry… welch billiges Argument. Weil es mehr bekannte Lücken in Windows gibt ist die Lücke bei Apple ein „Sturm im Wasserglas“.. echt jetzt? Du bist in Deinem ersten Post emotional und bringst nun als Vorwurf, ich würde einen emotionalen Blitzableiter suchen?
          Es ist doch völlig ob dich eine Kugel tötet die von Einem abgefeuert wurde oder ein ganzes Bataillon ballert. Tot ist tot. Um es mal sehr drastisch/plastisch auszudrücken.
          Natürlich ist es eine Schlagzeile wert. Schließlich sind ja jede noch so kleine Spekulationen um Appleprodukte Schlagzeilen wert und da mein Freund, stehst Du auf dem Standpunkt, dass dies mit recht so sei, wegen – du weißt schon, wertvollstes… usw. Unternehmen – Nur, wenn es um Pannen, Fehler oder generell „nicht positives“ (und ich sag absichtlich nicht negativ) bei Apple geht, dann ist es Effekthascherei, Bashing oder sonst was. Und genau damit prägst DU in vorderster Linie ein Bild von Appleusern, die in der Regel gar nicht so sind. Deine kläglichen Versuche, schaden dem Image mehr als es ihm nützlich wäre. Face that.

    • Am 4. August 2015 um 16:38 von boing

      Apple hat die Systeme nicht von sich aus sicher gemacht und gibt das auch zu: https://support.apple.com/de-de/HT204455 „you can also set a firmware password on your Mac“. Wieso sollte ein normaler Anwender etwas tun, das Apple nicht als Standardeinstellung anbietet? Versuchen Sie hingegen einmal eine sichere Einstellung unter Windows abzuwählen und Sie werden ständig daran erinnert. Da könnte sich Apple einmal daran orientieren.

  • Am 4. August 2015 um 17:44 von nemo

    Dem ist noch hinzuzufügen, dass gerade viele Mac User die Einstellung haben „ich kauf mir ein Mac, weil ich mich nicht mit meinem Rechner beschäftigen will“ – sprich sind dies kaum die Benutzer, welche sich dann mit Security Themen herumschlagen oder irgendwo speziell Passwörter setzen.

    • Am 4. August 2015 um 21:23 von Frank

      Etwas weit hergeholt, wo doch beim ersten einschalten exakt danach gefragt wird. ;-)

      Es wird immer wieder eelche geben, die kein Admin Kennwort setzen. Bei Windows aber haben sehr viele User Admin Rechte … die wenigsten kennen die ‚Run as‘ Funktion.

      Letztendlich spielt das keine Rolle: die Lücke wird Apple bald fixen, es ist eine von wenigen. In zwei Wochen ist die Lücke Geschichte.

  • Am 4. August 2015 um 22:53 von C

    Und wieder gibt es Apfel-Märchen…“wenige Lücken, bald gefixt“.

    Fakt ist, dass die EFI/UEFI Firmware buggy ist – egal welches OS darauf installiert wird.

    Und – sind Mac´s von der Hardware her betrachtet nicht PCs/Laptops zuzuordnen?

  • Am 5. August 2015 um 0:09 von Judas Ischias

    Apple erweckt/e wohl den Anschein, dass deren Produkte einfach zu bedienen sind und so sicher, dass man keine Passwörter braucht, beziehungsweise nicht besonders anspruchsvoll sein müssen.
    Nicht umsonst wurden ein Haufen Nacktbilder von Promis entwendet.
    Und so spezielle Fans dieser Firma, die es überall auf der Welt in Foren gibt, tragen genug dazu bei, dass diese Leute sich sicher fühlen.

  • Am 5. August 2015 um 6:28 von Holm

    Dann ist das ja gelogen oder? „Firmware-Exploits: Rechner mit Apples Mac OS sind genauso anfällig wie Windows-PCs“

    http://www.cnet.de/88154807/firmware-exploits-rechner-mit-apples-mac-os-sind-genauso-anfaellig-wie-windows-pcs/

  • Am 5. August 2015 um 11:09 von hicks

    mal wieder extrem lustig, wie die üblichen äpfel es in ihren kommis wieder hinbiegen wollen :D
    gerade apple-kunden beschäftigen sich am wenigsten mit sicherheits- und privatsphäre-einstellungen, weil sie denken, es wäre beides total unnötig. jeder komfort hat seinen preis. was mutet ihr euren komfortbewussten apfel-konsumenten zu? die wenigsten haben einen admin, der sich darum kümmert :D

    @mac-harry
    deine gedanken waren auch nicht beisammen, oder? zuerst sicherheitslücken, die man an einer hand abzählen kann. im nächsten satz schon eine handvoll/jahr :D aber in apples updates werden jedes mal zig sicherheitslücken geschlossen. und manche werden nie geschlossen, obwohl apple davon kenntnis hat.

  • Am 5. August 2015 um 12:49 von Visitor

    Wie sang Pippi Langstrumpf früher immer so schön:
    …Ich mach‘ mir die Welt,… wie sie mir gefällt…

    Selbst wenn alle Naturgesetze der Welt das Gegenteil beweisen, in der Welt der Applephilen fließt halt nun mal das Wasser den Berg hinauf.
    Basta! :p

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *