Abo
  • Services:
Anzeige
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit

Fast jeder Thunderbolt-Mac ist leicht mit einem EFI-Rootkit übernehmbar. Mangelnde Weitsicht Apples ist schuld an einer Lücke, die ideal für Geheimdienste ist. Aber es gibt eine halbe Lösung für das alte Problem.

Anzeige

Trammel Hudson hat sich die Angreifbarkeit von Macs mit Thunderbolt-Anschluss angesehen. Dem Entwickler der alternativen Kamera-Firmware Magic Lantern gelang es, die Softwareüberprüfungen für Firmware (EFI) zu überwinden und eine eigene Firmware zu installieren. Dazu muss der Mac nicht einmal geöffnet werden. Für Firmware-Updates reicht ein manipuliertes Thunderbolt-Gerät. Das könnte beispielsweise ein VGA-Adapter sein, der nebenbei über die PCI-Express-Schnittstelle mit dem Mac kommuniziert. Hudson selbst hat ein Gerät entwickelt, das er Thunderstrike nennt. Damit lassen sich Macs aktualisieren und etwa mit einem Rootkit bespielen. Und das ganz ohne Passworteingabe, denn der Thunderbolt-Stick und seine Schadsoftware werden noch vor allen anderen Überprüfungen ausgeführt. Besondere Administrationsrechte braucht es dazu nicht.

Rootkits im Flashspeicher für die Firmware lassen sich laut Hudson so gut verstecken, dass sie nicht erkannt werden können. Sie könnten etwa im System Management Mode verborgen werden. Dort würde das Rootkit Versuche des Auslesens erkennen und könnte einem Prüfprogramm eine intakte Firmware vorgaukeln. Zudem wäre auch eine Überprüfung von außen schwierig. Thunderstrike ist in der Lage, die ausgenutzte Sicherheitslücke zu schließen. Einzig verdächtig wäre dann, dass eine erneute Installation eines Rootkits scheitert. Nach derzeitigem Stand deutet dies in vielen Fällen auf ein verseuchtes System hin.

Legacy-Unterstützung für 30 Jahre alte Option ROMs

Dass der Exploit überhaupt funktioniert, geht auf eine Technik zurück, die aus dem Jahr 1981 stammt. Apples Mac-Plattform unterstützt noch immer Option ROMs. Normalerweise ist Apple dafür bekannt, alte Techniken des Fortschritts wegen und zu Lasten der Kompatibilität schnell zu entfernen. Doch die Option-ROM-Unterstützung ist weiterhin vorhanden. Über diese Option-ROMs und weitere Sicherheitslücken im Prozess kann der Angreifer so neue Firmware auf Mac-Systeme spielen. Für Geheimdienste ist der Angriff ideal. Der Hotelzimmerservice könnte beispielsweise beim Bettmachen schnell den Mac des Besuchers mit einem Rootkit versehen. Zudem könnte er Thunderbolt-Adapter gegen kompromittierte Adapter austauschen. So würde das Opfer idealerweise selbst zur Verbreitung eines Thunderbolt-Rootkits beitragen.

Mittelmäßiger Schutz existiert bereits

Wer sich vor der Sicherheitslücke schützen will, hat derzeit wenig Möglichkeiten. Apple wurde aber schon so früh informiert, dass die ersten Macs bereits geschützt sind. Irritierenderweise gilt das aber nur für den neuen iMac Retina 5K und den neuen Mac Mini mit Haswell-Prozessor. Diese Geräte wurden laut Hudson bereits ab Werk ohne die Sicherheitslücke ausgeliefert und sind immerhin schon über zwei Monate im Handel verfügbar. Wird der Produktionsvorlauf beachtet, ist das Problem noch etwas länger bei Apple gelöst.

Für andere Macs soll es ein Sicherheitsupdate noch geben, wie Hudson von Apple erfahren hat. Allerdings ist die Behebung der Sicherheitslücke letztendlich nur eine Abwehr gegen die Machbarkeitsstudie von Hudson. Dieser ist sich sicher, dass eine angepasste oder gar ein "weaponized Exploit" nicht davon aufgehalten werde. Option ROMs werden nämlich weiterhin geladen.

Hudson selbst hat sein Macbook dauerhaft gegen derartige Angriffe gesichert. Mit seinem Thunderstrike-Exploit hat er das Laden von Option-ROMs komplett unterbunden, die seiner Meinung nach nicht mehr gebraucht werden oder zumindest die Eingabe eines Passworts erfordern sollten. Die Treiber des Gigabit-Ethernet-Adapters sind beispielsweise schon im Betriebssystem und brauchen kein Option-ROM. Hudson bot anderen Hackern an, mit seinem Thunderstrike-Stick die Geräte zu sichern. Das funktioniert aber derzeit nur mit einem Macbook 10,1. Ginge es nach Hudson, sollte Apple die Technik aus dem Jahr 1981 schlicht abschalten und Altlasten nicht weiter übernehmen. Betroffen sind übrigens nur Thunderbolt-Macs. Ältere Systeme können so nicht von außen übernommen werden. Allerdings äußerte Hudson sich nicht zu Firewire, das ein System ähnlich offen lässt. Befürchtungen zu Thunderbolt gibt es schon lange, da die Schnittstelle dank PCI Express einen sehr direkten Zugriff auf Systeme erlaubt.


eye home zur Startseite
tsp 31. Dez 2014

Naja allerdings ändert so weit ich weiß kein OS nach der Initialisierung die Orte an...

HubertHans 30. Dez 2014

Das ist kein problem von Thunderbolt. Das ist ein Problem des UEFI/ BIOS. Option ROMs...

lgo 30. Dez 2014

( ) Du hast den Artikel gelesen.

ap (Golem.de) 30. Dez 2014

Bevor es hier endgültig ins Beleidigende rutscht, wird der Thread geschlossen.



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Bonn
  2. Freyer & Siegel Elektronik GmbH & Co. KG, Hennigsdorf
  3. enercity, Hannover
  4. Dirk Rossmann GmbH, Burgwedel


Anzeige
Spiele-Angebote
  1. 38,99€
  2. 5,99€
  3. (-65%) 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Airbus-Chef

    Fliegen ohne Piloten rückt näher

  2. Cartapping

    Autos werden seit 15 Jahren digital verwanzt

  3. Auto

    Die Kopfstütze des Fahrersitzes erkennt Sekundenschlaf

  4. World of Warcraft

    Fans der Classic-Version bereuen "Piraten-Server"

  5. BMW

    Autonome Autos sollen mehr miteinander quatschen

  6. Blackberry DTEK60 im (Sicherheits-)Test

    Sicher, weil isso!

  7. Nissan Leaf

    Autonome Elektroautos rollen ab Februar auf Londons Straßen

  8. Sunfleet

    Volvo plant globales Carsharing

  9. Nintendo Switch

    Eltern bekommen totale Kontrolle per App

  10. Rechercheverbund

    Facebook kämpft mit Correctiv gegen Fake News



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

Taps im Test: Aufsatz versagt bei den meisten Fingerabdrucksensoren
Taps im Test
Aufsatz versagt bei den meisten Fingerabdrucksensoren
  1. Glas Der Wunderwerkstoff
  2. Smartphone-Prognosen Das Scheitern der Marktforscher
  3. Studie Smartphones und Tablets können den Körper belasten

Dienste, Programme und Unternehmen: Was 2016 eingestellt und geschlossen wurde
Dienste, Programme und Unternehmen
Was 2016 eingestellt und geschlossen wurde
  1. Kabel Mietminderung wegen defektem Internetkabel zulässig
  2. Grundversorgung Kanada macht Drosselung illegal
  3. Internetzugänge 50 MBit/s günstiger als 16 MBit/s

  1. Re: Bei der Kompetenz der Automobilindustrie in...

    CheeponMeth | 11:31

  2. Re: Win7 wird mein letztes gewesen sein

    Stahlreck | 11:28

  3. Re: Was genau klaut die Ressourcen?

    x2k | 11:26

  4. Re: Unsicher, weil isso

    pre3 | 11:26

  5. Re: Rogue One

    PiranhA | 11:25


  1. 11:48

  2. 11:47

  3. 11:18

  4. 11:09

  5. 09:20

  6. 09:04

  7. 08:29

  8. 08:18


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel