Abo
  • Services:
Anzeige
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit

Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv.
Der Thunderstrike-Exploit ist noch vor der Passworteingabe aktiv. (Bild: Trammel Hudson)

Fast jeder Thunderbolt-Mac ist leicht mit einem EFI-Rootkit übernehmbar. Mangelnde Weitsicht Apples ist schuld an einer Lücke, die ideal für Geheimdienste ist. Aber es gibt eine halbe Lösung für das alte Problem.

Anzeige

Trammel Hudson hat sich die Angreifbarkeit von Macs mit Thunderbolt-Anschluss angesehen. Dem Entwickler der alternativen Kamera-Firmware Magic Lantern gelang es, die Softwareüberprüfungen für Firmware (EFI) zu überwinden und eine eigene Firmware zu installieren. Dazu muss der Mac nicht einmal geöffnet werden. Für Firmware-Updates reicht ein manipuliertes Thunderbolt-Gerät. Das könnte beispielsweise ein VGA-Adapter sein, der nebenbei über die PCI-Express-Schnittstelle mit dem Mac kommuniziert. Hudson selbst hat ein Gerät entwickelt, das er Thunderstrike nennt. Damit lassen sich Macs aktualisieren und etwa mit einem Rootkit bespielen. Und das ganz ohne Passworteingabe, denn der Thunderbolt-Stick und seine Schadsoftware werden noch vor allen anderen Überprüfungen ausgeführt. Besondere Administrationsrechte braucht es dazu nicht.

Rootkits im Flashspeicher für die Firmware lassen sich laut Hudson so gut verstecken, dass sie nicht erkannt werden können. Sie könnten etwa im System Management Mode verborgen werden. Dort würde das Rootkit Versuche des Auslesens erkennen und könnte einem Prüfprogramm eine intakte Firmware vorgaukeln. Zudem wäre auch eine Überprüfung von außen schwierig. Thunderstrike ist in der Lage, die ausgenutzte Sicherheitslücke zu schließen. Einzig verdächtig wäre dann, dass eine erneute Installation eines Rootkits scheitert. Nach derzeitigem Stand deutet dies in vielen Fällen auf ein verseuchtes System hin.

Legacy-Unterstützung für 30 Jahre alte Option ROMs

Dass der Exploit überhaupt funktioniert, geht auf eine Technik zurück, die aus dem Jahr 1981 stammt. Apples Mac-Plattform unterstützt noch immer Option ROMs. Normalerweise ist Apple dafür bekannt, alte Techniken des Fortschritts wegen und zu Lasten der Kompatibilität schnell zu entfernen. Doch die Option-ROM-Unterstützung ist weiterhin vorhanden. Über diese Option-ROMs und weitere Sicherheitslücken im Prozess kann der Angreifer so neue Firmware auf Mac-Systeme spielen. Für Geheimdienste ist der Angriff ideal. Der Hotelzimmerservice könnte beispielsweise beim Bettmachen schnell den Mac des Besuchers mit einem Rootkit versehen. Zudem könnte er Thunderbolt-Adapter gegen kompromittierte Adapter austauschen. So würde das Opfer idealerweise selbst zur Verbreitung eines Thunderbolt-Rootkits beitragen.

Mittelmäßiger Schutz existiert bereits

Wer sich vor der Sicherheitslücke schützen will, hat derzeit wenig Möglichkeiten. Apple wurde aber schon so früh informiert, dass die ersten Macs bereits geschützt sind. Irritierenderweise gilt das aber nur für den neuen iMac Retina 5K und den neuen Mac Mini mit Haswell-Prozessor. Diese Geräte wurden laut Hudson bereits ab Werk ohne die Sicherheitslücke ausgeliefert und sind immerhin schon über zwei Monate im Handel verfügbar. Wird der Produktionsvorlauf beachtet, ist das Problem noch etwas länger bei Apple gelöst.

Für andere Macs soll es ein Sicherheitsupdate noch geben, wie Hudson von Apple erfahren hat. Allerdings ist die Behebung der Sicherheitslücke letztendlich nur eine Abwehr gegen die Machbarkeitsstudie von Hudson. Dieser ist sich sicher, dass eine angepasste oder gar ein "weaponized Exploit" nicht davon aufgehalten werde. Option ROMs werden nämlich weiterhin geladen.

Hudson selbst hat sein Macbook dauerhaft gegen derartige Angriffe gesichert. Mit seinem Thunderstrike-Exploit hat er das Laden von Option-ROMs komplett unterbunden, die seiner Meinung nach nicht mehr gebraucht werden oder zumindest die Eingabe eines Passworts erfordern sollten. Die Treiber des Gigabit-Ethernet-Adapters sind beispielsweise schon im Betriebssystem und brauchen kein Option-ROM. Hudson bot anderen Hackern an, mit seinem Thunderstrike-Stick die Geräte zu sichern. Das funktioniert aber derzeit nur mit einem Macbook 10,1. Ginge es nach Hudson, sollte Apple die Technik aus dem Jahr 1981 schlicht abschalten und Altlasten nicht weiter übernehmen. Betroffen sind übrigens nur Thunderbolt-Macs. Ältere Systeme können so nicht von außen übernommen werden. Allerdings äußerte Hudson sich nicht zu Firewire, das ein System ähnlich offen lässt. Befürchtungen zu Thunderbolt gibt es schon lange, da die Schnittstelle dank PCI Express einen sehr direkten Zugriff auf Systeme erlaubt.


eye home zur Startseite
tsp 31. Dez 2014

Naja allerdings ändert so weit ich weiß kein OS nach der Initialisierung die Orte an...

HubertHans 30. Dez 2014

Das ist kein problem von Thunderbolt. Das ist ein Problem des UEFI/ BIOS. Option ROMs...

lgo 30. Dez 2014

( ) Du hast den Artikel gelesen.

ap (Golem.de) 30. Dez 2014

Bevor es hier endgültig ins Beleidigende rutscht, wird der Thread geschlossen.



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Radolfzell am Bodensee
  2. über Hays AG, Celle
  3. BWI GmbH, Meckenheim
  4. Schober Information Group Deutschland GmbH, Stuttgart / London (Großbritannien)


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  2. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  3. Lohn

    Streik bei Amazon an zwei Standorten

  4. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder

  5. FTTH/B

    EWE und Telekom investieren zwei Milliarden Euro in FTTH/B

  6. Honor 7X, Moto X4 und U11 Life im Test

    Drei gute Alternativen zu teuren Smartphones

  7. Produktfälschungen

    Hunderte Milliarden Euro Umsatz weltweit mit falscher Ware

  8. Hybridkonsole

    Nintendo meldet 10 Millionen verkaufte Switch

  9. Neues US-Gesetz

    Trump verbannt Kaspersky endgültig von Regierungscomputern

  10. IEEE 802.11ax

    Marvell kündigt 4x4-WLAN-Chips mit 2,4 GBit/s an



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. National Electric Vehicle Sweden Der Saab 9-3 ist zurück als Elektroauto
  2. Kein Plug-in-Hybrid Rolls-Royce Phantom wird vollelektrisch
  3. Ionity Shell beteiligt sich am Aufbau einer Ladeinfrastruktur

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. IT-Sicherheit Neue Onlinehilfe für Anfänger
  2. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

  1. HDR = am PC nicht relevant (danke, genau das...

    keböb | 14:12

  2. Re: so war die Überschrift eigentlich gedacht

    root666 | 14:09

  3. Re: ich verstehe nicht so ganz

    xVipeR33 | 14:08

  4. Dragon Quest Builders

    Dwalinn | 14:07

  5. Re: Alle Jahre wieder

    Flown | 14:07


  1. 14:25

  2. 14:08

  3. 13:33

  4. 12:52

  5. 12:21

  6. 12:03

  7. 11:49

  8. 11:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel