Abo
  • Services:
Anzeige
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit

Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Fast jeder Thunderbolt-Mac ist leicht mit einem EFI-Rootkit übernehmbar. Mangelnde Weitsicht Apples ist schuld an einer Lücke, die ideal für Geheimdienste ist. Aber es gibt eine halbe Lösung für das alte Problem.

Trammel Hudson hat sich die Angreifbarkeit von Macs mit Thunderbolt-Anschluss angesehen. Dem Entwickler der alternativen Kamera-Firmware Magic Lantern gelang es, die Softwareüberprüfungen für Firmware (EFI) zu überwinden und eine eigene Firmware zu installieren. Dazu muss der Mac nicht einmal geöffnet werden. Für Firmware-Updates reicht ein manipuliertes Thunderbolt-Gerät. Das könnte beispielsweise ein VGA-Adapter sein, der nebenbei über die PCI-Express-Schnittstelle mit dem Mac kommuniziert. Hudson selbst hat ein Gerät entwickelt, das er Thunderstrike nennt. Damit lassen sich Macs aktualisieren und etwa mit einem Rootkit bespielen. Und das ganz ohne Passworteingabe, denn der Thunderbolt-Stick und seine Schadsoftware werden noch vor allen anderen Überprüfungen ausgeführt. Besondere Administrationsrechte braucht es dazu nicht.

Anzeige

Rootkits im Flashspeicher für die Firmware lassen sich laut Hudson so gut verstecken, dass sie nicht erkannt werden können. Sie könnten etwa im System Management Mode verborgen werden. Dort würde das Rootkit Versuche des Auslesens erkennen und könnte einem Prüfprogramm eine intakte Firmware vorgaukeln. Zudem wäre auch eine Überprüfung von außen schwierig. Thunderstrike ist in der Lage, die ausgenutzte Sicherheitslücke zu schließen. Einzig verdächtig wäre dann, dass eine erneute Installation eines Rootkits scheitert. Nach derzeitigem Stand deutet dies in vielen Fällen auf ein verseuchtes System hin.

Legacy-Unterstützung für 30 Jahre alte Option ROMs

Dass der Exploit überhaupt funktioniert, geht auf eine Technik zurück, die aus dem Jahr 1981 stammt. Apples Mac-Plattform unterstützt noch immer Option ROMs. Normalerweise ist Apple dafür bekannt, alte Techniken des Fortschritts wegen und zu Lasten der Kompatibilität schnell zu entfernen. Doch die Option-ROM-Unterstützung ist weiterhin vorhanden. Über diese Option-ROMs und weitere Sicherheitslücken im Prozess kann der Angreifer so neue Firmware auf Mac-Systeme spielen. Für Geheimdienste ist der Angriff ideal. Der Hotelzimmerservice könnte beispielsweise beim Bettmachen schnell den Mac des Besuchers mit einem Rootkit versehen. Zudem könnte er Thunderbolt-Adapter gegen kompromittierte Adapter austauschen. So würde das Opfer idealerweise selbst zur Verbreitung eines Thunderbolt-Rootkits beitragen.

Mittelmäßiger Schutz existiert bereits

Wer sich vor der Sicherheitslücke schützen will, hat derzeit wenig Möglichkeiten. Apple wurde aber schon so früh informiert, dass die ersten Macs bereits geschützt sind. Irritierenderweise gilt das aber nur für den neuen iMac Retina 5K und den neuen Mac Mini mit Haswell-Prozessor. Diese Geräte wurden laut Hudson bereits ab Werk ohne die Sicherheitslücke ausgeliefert und sind immerhin schon über zwei Monate im Handel verfügbar. Wird der Produktionsvorlauf beachtet, ist das Problem noch etwas länger bei Apple gelöst.

Für andere Macs soll es ein Sicherheitsupdate noch geben, wie Hudson von Apple erfahren hat. Allerdings ist die Behebung der Sicherheitslücke letztendlich nur eine Abwehr gegen die Machbarkeitsstudie von Hudson. Dieser ist sich sicher, dass eine angepasste oder gar ein "weaponized Exploit" nicht davon aufgehalten werde. Option ROMs werden nämlich weiterhin geladen.

Hudson selbst hat sein Macbook dauerhaft gegen derartige Angriffe gesichert. Mit seinem Thunderstrike-Exploit hat er das Laden von Option-ROMs komplett unterbunden, die seiner Meinung nach nicht mehr gebraucht werden oder zumindest die Eingabe eines Passworts erfordern sollten. Die Treiber des Gigabit-Ethernet-Adapters sind beispielsweise schon im Betriebssystem und brauchen kein Option-ROM. Hudson bot anderen Hackern an, mit seinem Thunderstrike-Stick die Geräte zu sichern. Das funktioniert aber derzeit nur mit einem Macbook 10,1. Ginge es nach Hudson, sollte Apple die Technik aus dem Jahr 1981 schlicht abschalten und Altlasten nicht weiter übernehmen. Betroffen sind übrigens nur Thunderbolt-Macs. Ältere Systeme können so nicht von außen übernommen werden. Allerdings äußerte Hudson sich nicht zu Firewire, das ein System ähnlich offen lässt. Befürchtungen zu Thunderbolt gibt es schon lange, da die Schnittstelle dank PCI Express einen sehr direkten Zugriff auf Systeme erlaubt.


eye home zur Startseite
tsp 31. Dez 2014

Naja allerdings ändert so weit ich weiß kein OS nach der Initialisierung die Orte an...

HubertHans 30. Dez 2014

Das ist kein problem von Thunderbolt. Das ist ein Problem des UEFI/ BIOS. Option ROMs...

lgo 30. Dez 2014

( ) Du hast den Artikel gelesen.

ap (Golem.de) 30. Dez 2014

Bevor es hier endgültig ins Beleidigende rutscht, wird der Thread geschlossen.



Anzeige

Stellenmarkt
  1. über Hays AG, Großraum Nürnberg
  2. STAUFEN.AG, Köngen
  3. SCHUFA Holding AG, Wiesbaden
  4. Bertrandt Ingenieurbüro GmbH, Köln


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Windows Phone 7.5 und 8.0

    Microsoft schaltet Smartphone-Funktionen ab

  2. Raja Koduri

    Intel zeigt Prototyp von dediziertem Grafikchip

  3. Vizzion

    VW zeigt selbstfahrendes Auto ohne Lenkrad

  4. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  5. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  6. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  7. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  8. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  9. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  10. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Kein brauchbares Elektrofahrzeug am Start...

    xmaniac | 08:48

  2. Re: Schließung des Forums

    happymeal | 08:47

  3. Re: Warum sind smart Lautsprecher so beliebt?

    Dedl | 08:47

  4. Re: Das kann nicht in D klappen

    ptepic | 08:46

  5. Überall das gleiche Spiel

    VigarLunaris | 08:46


  1. 08:51

  2. 06:37

  3. 06:27

  4. 00:27

  5. 18:27

  6. 18:09

  7. 18:04

  8. 16:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel