31C3: Thunderstrike kann Macbooks kom­pro­mit­tie­ren

Das "Proof of Concept" des Sicherheitsforschers Trammell Hudson nutzt eine zwei Jahre alte EFI-Lücke, über die sich die Firmware des Rechners manipulieren lässt. Die Malware gelangt über die Thunderbolt-Schnittstelle ins System. Ein Angreifer muss allerdings physischen Zufriff auf den Rechner haben.

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt. Hierfür nutzt Hudson eine seit zwei Jahren bekannte Lücke in der Firmware-Architektur der Apple-Rechner. Über das Extensible Firmware Interface (EFI) schleust er mit einer präparierten Thunderbolt-Boot-ROM seine auf „Thunderstrike“ benannte Malware auf das Macbook. Anders als bei der vor zwei Jahren erstmals gezeigten Schwachstelle wird die Malware nicht auf der Festplatte abgespeichert, wovon sie einfach gelöscht werden könnte, sondern direkt in der Firmware des Rechners. Nach Aussagen von Hudson lässt sie sich nicht ohne Weiteres entfernen.

Der Zugang zum System ist möglich, weil während der frühen Phase des Bootvorgangs keine Überprüfung der Hardware und der darin enthaltenen Firmware stattfindet. Diese neue Art von Bootkits könne System Mangement Mode (SMM), Virtualisierung und andere Techniken nutzen, um nicht entdeckt zu werden. Da sich der Schadcode direkt in der Firmware des Rechners befindet, übersteht er die Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Lediglich über ein „hardware in-system-programming device“ lasse sich die Original-Firmware wiederherstellen.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue Klasse von Firmware-Bootkits für Macbook-Systeme. Hudson will außerdem zeigen, wie Thunderstrike Apples öffentlichen RSA-Key im ROM austauscht und verhindert, diesen zu ersetzen.

Ein von Thunderstrike befallenes Macbook infiziert außerdem andere Thunderbolt-Geräte, sobald diese an den Rechner angeschlossen werden. Dies ist möglich, weil die Firmware dieser Devices während des Bootvorgangs beschrieben werden können. Hudson will auch zeigen, wie man die Lücke mit einen Patch schließen kann. Er gibt allerdings zu bedenken, dass das Hauptproblem im generell unsicheren Bootprozess ohne Überprüfung der Hardware liegt.

Thunderstrike nutzt Lücke in Thunderbolt (Bild: Trammel Hudson)Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt (Bild: Trammel Hudson).

[Mit Material von Martin Schindler, silicon.de]

Themenseiten: Apple, Hacker, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

11 Kommentare zu 31C3: Thunderstrike kann Macbooks kom­pro­mit­tie­ren

Kommentar hinzufügen
  • Am 29. Dezember 2014 um 16:51 von C

    Die „gefühlte“ Apfel-Sicherheit ist voll am Werk….

    Und von daher lässt sie sich auch einfach überwinden. Sei es iOS, sei es OSX. Wo sind eigentlich die Apfel-Fans die ständig behaupten, Ihr System sei sicher?

    Komisch, in letzter Zeit häufen sich die Apfel-Sicherheits-Probleme…sind aber sicher alles nur erfundene Artikel/News. Exakt so, wie über die Arbeits-Zustände bei den Apfel-Lieferanten…

    Ja, bei Apfel-Jüngern ist der Glaube (u. a. gefühlte Sicherheit) größer als der Realitäts-Sinn.

  • Am 29. Dezember 2014 um 17:53 von WDSE

    C, dein Niveau wird immer geringer. Lese doch den Artikel mal richtig.
    Man muss ein fremdes Optionrom eines fremden Thunderbolt Gerätes manipulieren und dann Zugriff auf den Mac haben und…,
    Alles wirklich sehr unsicher, wow Klingt nach täglicher Gefahr
    Den Artikel selbst ist gut und wichtig, nur diese Hater Rundumschläge haben nichts mit der Realität zu tun.
    Natürlich ist kein System sicher, nur halte ich Unixbasierte Systeme wie OSX und andere für etwas sicherer als andere.

  • Am 30. Dezember 2014 um 0:21 von C

    Fakten:
    Habe Ich ein EFI basiertes MacBook im physikalischen Zugriff, ist es mit Thunderstrike sehr leicht diesem jegliche Malware unter zu schieben, damit zu öffnen. Sicherheit? KEINE!

    Thunderstrike manipuliert
    a) die Firmware permanent
    b) sperrt Apples Firmware aus
    c) verbreitet sich weiter über Thunderbold Geräte
    d) überlebt HD & OS-Tausch

    Lediglich ein HW-Flash-Programmer kann die Original-Firmware im Flash-ROM wieder herstellen… und die Design-Schwäche ist lediglich seit 2 Jahren bekannt und noch nicht behoben, wie man sieht…Ja, angeblich patched der Apfel schnell, aber die unsichere Architektur wird beibehalten.

    Wo kann mein Gerät mir kurz abhanden kommen – oder mal kurz eben infiziert werden? Auf Flughäfen bei offiziellen Kontrollen, bei Momenten, in denen jemand kurz unbeaufsichtigt das Gerät im physischen Zugriff hat. Und – das sind viele Möglichkeiten….

    Ich möchte nicht wissen, was alles im UEFI noch offen und buggy ist bzw. welche NSA Überraschungen dort schlummern…

    Seinerzeit (2008?) nutzte die NSA z. B. bei DELL x86/x64 Servern Firmware-Wanzen. Gleiche Mimik gilt hier für den Apfel jetzt.

    Eins ist lediglich sicher, dass nichts sicher ist.
    Wer was anderes behauptet – und es gibt einige Apfel-Freunde die das tun – ist ein NARR. Auch die Vergleiche „mein System ist sicherer als Dein System“ sind daneben. Kompromittiert ist Kompromittiert! Sei es mit 1.000 Malware Programmen oder nur mit einem. Eines reicht bereits, um den Schaden anzurichten.

    • Am 30. Dezember 2014 um 10:12 von C--

      Du hast seit Jahren auffällig viel Apple Hardware, dafür, dass Apple so schlechte Geräte produziert, gell? ;-)

      Und dann bist Du auch noch so ein extremer Pechvogel, dass Du jeden Bug und jeden Hardware Defekt persönlich erlebt hast.

      Ein Wunder, dass Du trotz allem ausreichend Vertrauen in die Qualität der Apple Produkte hast, um ständig neue Produkte zu kaufen. ODER aber, Deine Erfahrungen mit der Windows/Android Welt sind NOCH SCHLIMMER, was Du einfach mal still und heimlich verschweigst? Oh, Du Schelm, jetzt wird alles klar! ;-)

      Uff: mit dieser Neigung und Deinem Pech solltest Du besser nicht die Wohnung verlassen. So viel Dramatik, wie in Deinem Leben bereits mit Technik steckt? ;-]

      • Am 30. Dezember 2014 um 12:05 von C

        Ich hatte bislang keine Apfel-Produkte, habe keine und werde in Zukunft auch keine haben (unter den bekannten Apfel-Parametern, insb. der Bevormundung des Users).

        Du unterliegst hier einem Irrtum.

        Ich hatte in meinem Beitrag nur auf die physische Zugriffs-Möglichkeit als Voraussetzung für den Angriff verwiesen.

        • Am 30. Dezember 2014 um 23:00 von Ah ...

          Du hast also Null Erfahrung mit Apple Geräten, zeterst aber über deren Nutzer.

          Und informiert bist Du auch schlecht: „Hudson hat Apple über die Schwachstelle informiert, das Unternehmen hat auch schon reagiert. Neue MacMinis und iMacs sollen nicht mehr auf diese Weise angreifbar sein.“

          http://www.zeit.de/digital/internet/2014-12/apple-macbook-hack-thunderstrike-31c3

          So wird klar, daas Du nur Apple Bashing betreibst – mal wieder.

          Tja: das ist der Unterschied zwischen uns. Ich HABE etwa 20 Jahre Windows Erfahrung und WEISS worüber ich rede. ;-)

    • Am 30. Dezember 2014 um 10:16 von Stimmt

      Und weil es eine Million Schadprogramme für Windows gibt, und unter einhundert für OS X, wobei man die meisten aktiv freischalten muss, und es solche Malware nicht bereits seit langem für USB gibt, ist Windows sicherer. Stimmt.

      Deswegen ist die Erde auch eine Scheibe, die Sonne dreht sich um die Erde, und Microsoft Windows ist vor der NSA sicherer. ;-)

      • Am 30. Dezember 2014 um 12:08 von C

        Habe Ich behauptet, dass Windows sicherer ist?

        Es geht hier um einen Firmware (EFI) Angriff, nicht um ein OS-Leck.
        Du solltest meinen Beitrag lesen & verstehen, bevor Du postest.

        Typisch Apfel-Fan: einfach mal behaupten, ohne Beweise.

  • Am 30. Dezember 2014 um 3:54 von Harald Himmel

    Ja, was macht das schon..

    wenn man „Zugriff“ (1 falscher Mausklick) und auch noch ein Firmware Image braucht, wird das schon niemand umsetzen, gell?

    Man glaubt garnicht wieviel sich da heute automatisieren lässt.

    Im übrigen steht im Artikel zwischen den Zeilen dass man hinterher seinen Edel-Laptop in die Tonne hauen kann, da es dem Angreifer möglich ist, die Lücke zu schliessen.

    Das liegt ganz einfach daran, dass Apple Null, Nada, Niente für Sicherheit ausgibt. Bei MS kannte man das ja, von XP SP1 Zeiten, wo man schon beim online update gehackt wurde. 10 Jahre und einige Millioneninvestitionen später, sah das schon ganz ordentlich aus.

    Aus den NSA Unterlagen geht hervor, dass diese noch niemals ein Problem hatten in irgendein Apple Gerät reinzukommen.

    Da nützt dann auch die beste Unix Philosophie nichts mehr, wenn auf eine Sicherheitsabteilung bei MS ein Büro bei Apple kommt.

    Und das ist wirklich nicht als Bashing gemeint sondern traurige Realität.

  • Am 30. Dezember 2014 um 10:33 von Win 8

    Einfach mal unter „4. Vor Windows 8 wird gewarnt“ schauen … ;-)

    http://m.spiegel.de/netzwelt/web/a-1010562.html

    Und dann über Secure Boot und Trusted Computing nachdenken …

    http://m.heise.de/newsticker/meldung/31C3-Warnung-vor-Secure-Boot-und-Trusted-Computing-2507013.html?from-classic=1

    Und dann die Frage beantworten, wie sicher Windows sein kann – selbst wenn man >1 Mio Viren und herkömmliche Malware beiseite lässt. ;-)

  • Am 31. Dezember 2014 um 9:55 von Lackner Hans

    @ WDSE
    Wer den Unterschied von LESE und LIES nicht kennt und die Wörter in seiner Satzgestaltung falsch verwendet, sollte nicht von NIVEAU sprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *