Abo
  • Services:
Anzeige
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit

Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Fast jeder Thunderbolt-Mac ist leicht mit einem EFI-Rootkit übernehmbar. Mangelnde Weitsicht Apples ist schuld an einer Lücke, die ideal für Geheimdienste ist. Aber es gibt eine halbe Lösung für das alte Problem.

Anzeige

Trammel Hudson hat sich die Angreifbarkeit von Macs mit Thunderbolt-Anschluss angesehen. Dem Entwickler der alternativen Kamera-Firmware Magic Lantern gelang es, die Softwareüberprüfungen für Firmware (EFI) zu überwinden und eine eigene Firmware zu installieren. Dazu muss der Mac nicht einmal geöffnet werden. Für Firmware-Updates reicht ein manipuliertes Thunderbolt-Gerät. Das könnte beispielsweise ein VGA-Adapter sein, der nebenbei über die PCI-Express-Schnittstelle mit dem Mac kommuniziert. Hudson selbst hat ein Gerät entwickelt, das er Thunderstrike nennt. Damit lassen sich Macs aktualisieren und etwa mit einem Rootkit bespielen. Und das ganz ohne Passworteingabe, denn der Thunderbolt-Stick und seine Schadsoftware werden noch vor allen anderen Überprüfungen ausgeführt. Besondere Administrationsrechte braucht es dazu nicht.

Rootkits im Flashspeicher für die Firmware lassen sich laut Hudson so gut verstecken, dass sie nicht erkannt werden können. Sie könnten etwa im System Management Mode verborgen werden. Dort würde das Rootkit Versuche des Auslesens erkennen und könnte einem Prüfprogramm eine intakte Firmware vorgaukeln. Zudem wäre auch eine Überprüfung von außen schwierig. Thunderstrike ist in der Lage, die ausgenutzte Sicherheitslücke zu schließen. Einzig verdächtig wäre dann, dass eine erneute Installation eines Rootkits scheitert. Nach derzeitigem Stand deutet dies in vielen Fällen auf ein verseuchtes System hin.

Legacy-Unterstützung für 30 Jahre alte Option ROMs

Dass der Exploit überhaupt funktioniert, geht auf eine Technik zurück, die aus dem Jahr 1981 stammt. Apples Mac-Plattform unterstützt noch immer Option ROMs. Normalerweise ist Apple dafür bekannt, alte Techniken des Fortschritts wegen und zu Lasten der Kompatibilität schnell zu entfernen. Doch die Option-ROM-Unterstützung ist weiterhin vorhanden. Über diese Option-ROMs und weitere Sicherheitslücken im Prozess kann der Angreifer so neue Firmware auf Mac-Systeme spielen. Für Geheimdienste ist der Angriff ideal. Der Hotelzimmerservice könnte beispielsweise beim Bettmachen schnell den Mac des Besuchers mit einem Rootkit versehen. Zudem könnte er Thunderbolt-Adapter gegen kompromittierte Adapter austauschen. So würde das Opfer idealerweise selbst zur Verbreitung eines Thunderbolt-Rootkits beitragen.

Mittelmäßiger Schutz existiert bereits

Wer sich vor der Sicherheitslücke schützen will, hat derzeit wenig Möglichkeiten. Apple wurde aber schon so früh informiert, dass die ersten Macs bereits geschützt sind. Irritierenderweise gilt das aber nur für den neuen iMac Retina 5K und den neuen Mac Mini mit Haswell-Prozessor. Diese Geräte wurden laut Hudson bereits ab Werk ohne die Sicherheitslücke ausgeliefert und sind immerhin schon über zwei Monate im Handel verfügbar. Wird der Produktionsvorlauf beachtet, ist das Problem noch etwas länger bei Apple gelöst.

Für andere Macs soll es ein Sicherheitsupdate noch geben, wie Hudson von Apple erfahren hat. Allerdings ist die Behebung der Sicherheitslücke letztendlich nur eine Abwehr gegen die Machbarkeitsstudie von Hudson. Dieser ist sich sicher, dass eine angepasste oder gar ein "weaponized Exploit" nicht davon aufgehalten werde. Option ROMs werden nämlich weiterhin geladen.

Hudson selbst hat sein Macbook dauerhaft gegen derartige Angriffe gesichert. Mit seinem Thunderstrike-Exploit hat er das Laden von Option-ROMs komplett unterbunden, die seiner Meinung nach nicht mehr gebraucht werden oder zumindest die Eingabe eines Passworts erfordern sollten. Die Treiber des Gigabit-Ethernet-Adapters sind beispielsweise schon im Betriebssystem und brauchen kein Option-ROM. Hudson bot anderen Hackern an, mit seinem Thunderstrike-Stick die Geräte zu sichern. Das funktioniert aber derzeit nur mit einem Macbook 10,1. Ginge es nach Hudson, sollte Apple die Technik aus dem Jahr 1981 schlicht abschalten und Altlasten nicht weiter übernehmen. Betroffen sind übrigens nur Thunderbolt-Macs. Ältere Systeme können so nicht von außen übernommen werden. Allerdings äußerte Hudson sich nicht zu Firewire, das ein System ähnlich offen lässt. Befürchtungen zu Thunderbolt gibt es schon lange, da die Schnittstelle dank PCI Express einen sehr direkten Zugriff auf Systeme erlaubt.


eye home zur Startseite
tsp 31. Dez 2014

Naja allerdings ändert so weit ich weiß kein OS nach der Initialisierung die Orte an...

HubertHans 30. Dez 2014

Das ist kein problem von Thunderbolt. Das ist ein Problem des UEFI/ BIOS. Option ROMs...

lgo 30. Dez 2014

( ) Du hast den Artikel gelesen.

ap (Golem.de) 30. Dez 2014

Bevor es hier endgültig ins Beleidigende rutscht, wird der Thread geschlossen.



Anzeige

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden
  2. DEKRA SE, Stuttgart
  3. ALDI SÜD, Mülheim an der Ruhr
  4. Circular Economy Solutions GmbH, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. (u. a. The Big Bang Theory, The Vampire Diaries, True Detective)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       


  1. Komplett-PC

    In Nvidias Battleboxen steckt AMDs Ryzen

  2. Internet

    Cloudflare macht IPv6 parallel zu IPv4 jetzt Pflicht

  3. Square Enix

    Neustart für das Final Fantasy 7 Remake

  4. Agesa 1006

    Ryzen unterstützt DDR4-4000

  5. Telekom Austria

    Nokia erreicht 850 MBit/s im LTE-Netz

  6. Star Trek Bridge Crew im Test

    Festgetackert im Holodeck

  7. Quantenalgorithmen

    "Morgen könnte ein Physiker die Quantenmechanik widerlegen"

  8. Astra

    ZDF bleibt bis zum Jahr 2020 per Satellit in SD verfügbar

  9. Kubic

    Opensuse startet Projekt für Container-Plattform

  10. Frühstart

    Kabelnetzbetreiber findet keine Modems für Docsis 3.1



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Wemo Belkin erweitert Smart-Home-System um Homekit-Bridge
  2. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  3. Tapdo Das Smart Home mit Fingerabdrücken steuern

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später

  1. Windows 10 das schlankeste Windows ?

    Multilindmikros... | 23:06

  2. Re: Chipsätze nie angeboten???

    haxti | 23:02

  3. Mobilfunk + Festnetz-Anschluss meiner Eltern

    __destruct() | 23:02

  4. Re: Immer noch zu wenige Dienste per IPv6 erreichbar

    Käx | 22:59

  5. Re: E-Auto laden utopisch

    Eheran | 22:52


  1. 18:08

  2. 17:37

  3. 16:55

  4. 16:46

  5. 16:06

  6. 16:00

  7. 14:21

  8. 13:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel