Abo
  • Services:
Anzeige
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit

Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Fast jeder Thunderbolt-Mac ist leicht mit einem EFI-Rootkit übernehmbar. Mangelnde Weitsicht Apples ist schuld an einer Lücke, die ideal für Geheimdienste ist. Aber es gibt eine halbe Lösung für das alte Problem.

Anzeige

Trammel Hudson hat sich die Angreifbarkeit von Macs mit Thunderbolt-Anschluss angesehen. Dem Entwickler der alternativen Kamera-Firmware Magic Lantern gelang es, die Softwareüberprüfungen für Firmware (EFI) zu überwinden und eine eigene Firmware zu installieren. Dazu muss der Mac nicht einmal geöffnet werden. Für Firmware-Updates reicht ein manipuliertes Thunderbolt-Gerät. Das könnte beispielsweise ein VGA-Adapter sein, der nebenbei über die PCI-Express-Schnittstelle mit dem Mac kommuniziert. Hudson selbst hat ein Gerät entwickelt, das er Thunderstrike nennt. Damit lassen sich Macs aktualisieren und etwa mit einem Rootkit bespielen. Und das ganz ohne Passworteingabe, denn der Thunderbolt-Stick und seine Schadsoftware werden noch vor allen anderen Überprüfungen ausgeführt. Besondere Administrationsrechte braucht es dazu nicht.

Rootkits im Flashspeicher für die Firmware lassen sich laut Hudson so gut verstecken, dass sie nicht erkannt werden können. Sie könnten etwa im System Management Mode verborgen werden. Dort würde das Rootkit Versuche des Auslesens erkennen und könnte einem Prüfprogramm eine intakte Firmware vorgaukeln. Zudem wäre auch eine Überprüfung von außen schwierig. Thunderstrike ist in der Lage, die ausgenutzte Sicherheitslücke zu schließen. Einzig verdächtig wäre dann, dass eine erneute Installation eines Rootkits scheitert. Nach derzeitigem Stand deutet dies in vielen Fällen auf ein verseuchtes System hin.

Legacy-Unterstützung für 30 Jahre alte Option ROMs

Dass der Exploit überhaupt funktioniert, geht auf eine Technik zurück, die aus dem Jahr 1981 stammt. Apples Mac-Plattform unterstützt noch immer Option ROMs. Normalerweise ist Apple dafür bekannt, alte Techniken des Fortschritts wegen und zu Lasten der Kompatibilität schnell zu entfernen. Doch die Option-ROM-Unterstützung ist weiterhin vorhanden. Über diese Option-ROMs und weitere Sicherheitslücken im Prozess kann der Angreifer so neue Firmware auf Mac-Systeme spielen. Für Geheimdienste ist der Angriff ideal. Der Hotelzimmerservice könnte beispielsweise beim Bettmachen schnell den Mac des Besuchers mit einem Rootkit versehen. Zudem könnte er Thunderbolt-Adapter gegen kompromittierte Adapter austauschen. So würde das Opfer idealerweise selbst zur Verbreitung eines Thunderbolt-Rootkits beitragen.

Mittelmäßiger Schutz existiert bereits

Wer sich vor der Sicherheitslücke schützen will, hat derzeit wenig Möglichkeiten. Apple wurde aber schon so früh informiert, dass die ersten Macs bereits geschützt sind. Irritierenderweise gilt das aber nur für den neuen iMac Retina 5K und den neuen Mac Mini mit Haswell-Prozessor. Diese Geräte wurden laut Hudson bereits ab Werk ohne die Sicherheitslücke ausgeliefert und sind immerhin schon über zwei Monate im Handel verfügbar. Wird der Produktionsvorlauf beachtet, ist das Problem noch etwas länger bei Apple gelöst.

Für andere Macs soll es ein Sicherheitsupdate noch geben, wie Hudson von Apple erfahren hat. Allerdings ist die Behebung der Sicherheitslücke letztendlich nur eine Abwehr gegen die Machbarkeitsstudie von Hudson. Dieser ist sich sicher, dass eine angepasste oder gar ein "weaponized Exploit" nicht davon aufgehalten werde. Option ROMs werden nämlich weiterhin geladen.

Hudson selbst hat sein Macbook dauerhaft gegen derartige Angriffe gesichert. Mit seinem Thunderstrike-Exploit hat er das Laden von Option-ROMs komplett unterbunden, die seiner Meinung nach nicht mehr gebraucht werden oder zumindest die Eingabe eines Passworts erfordern sollten. Die Treiber des Gigabit-Ethernet-Adapters sind beispielsweise schon im Betriebssystem und brauchen kein Option-ROM. Hudson bot anderen Hackern an, mit seinem Thunderstrike-Stick die Geräte zu sichern. Das funktioniert aber derzeit nur mit einem Macbook 10,1. Ginge es nach Hudson, sollte Apple die Technik aus dem Jahr 1981 schlicht abschalten und Altlasten nicht weiter übernehmen. Betroffen sind übrigens nur Thunderbolt-Macs. Ältere Systeme können so nicht von außen übernommen werden. Allerdings äußerte Hudson sich nicht zu Firewire, das ein System ähnlich offen lässt. Befürchtungen zu Thunderbolt gibt es schon lange, da die Schnittstelle dank PCI Express einen sehr direkten Zugriff auf Systeme erlaubt.


eye home zur Startseite
tsp 31. Dez 2014

Naja allerdings ändert so weit ich weiß kein OS nach der Initialisierung die Orte an...

HubertHans 30. Dez 2014

Das ist kein problem von Thunderbolt. Das ist ein Problem des UEFI/ BIOS. Option ROMs...

lgo 30. Dez 2014

( ) Du hast den Artikel gelesen.

ap (Golem.de) 30. Dez 2014

Bevor es hier endgültig ins Beleidigende rutscht, wird der Thread geschlossen.



Anzeige

Stellenmarkt
  1. Hermle Maschinenbau GmbH, Ottobrunn bei München
  2. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  3. Device Insight GmbH, München
  4. Evangelischer Oberkirchenrat Stuttgart, Stuttgart


Anzeige
Hardware-Angebote
  1. ab 232,90€ bei Alternate gelistet
  2. 24,90€

Folgen Sie uns
       


  1. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  2. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  3. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  4. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  5. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  6. Die Woche im Video

    Mr. Robot und Mrs. MINT

  7. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  8. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  9. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  10. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sonos Playbase vs. Raumfeld Sounddeck: Wuchtiger Wumms im Wohnzimmer
Sonos Playbase vs. Raumfeld Sounddeck
Wuchtiger Wumms im Wohnzimmer
  1. Playbase im Hands on Sonos bringt kraftvolles Lautsprechersystem fürs Heimkino

Mobile-Games-Auslese: Untote Rundfahrt und mobiles Seemannsgarn
Mobile-Games-Auslese
Untote Rundfahrt und mobiles Seemannsgarn
  1. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt
  2. Pay-by-Call Eltern haften nicht für unerlaubte Telefonkäufe der Kinder
  3. Spielebranche Deutscher Gamesmarkt war 2016 stabil

Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

  1. Re: Technologischer Fortschritt

    narea | 17:18

  2. Re: Top stabile Server Distro

    ibecf | 17:15

  3. Re: Lieber das U-Bahnnetz ausbauen!

    zaphodbb | 17:12

  4. Re: Langsam wird Musk verrückt

    Luke321 | 17:10

  5. Re: Und wohin mit den ganzen Leitungen?

    M.P. | 17:08


  1. 15:07

  2. 14:32

  3. 13:35

  4. 12:56

  5. 12:15

  6. 09:01

  7. 08:00

  8. 18:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel