Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt. Hierfür nutzt Hudson eine seit zwei Jahren bekannte Lücke in der Firmware-Architektur der Apple-Rechner. Über das Extensible Firmware Interface (EFI) schleust er mit einer präparierten Thunderbolt-Boot-ROM seine auf „Thunderstrike“ benannte Malware auf das Macbook. Anders als bei der vor zwei Jahren erstmals gezeigten Schwachstelle wird die Malware nicht auf der Festplatte abgespeichert, wovon sie einfach gelöscht werden könnte, sondern direkt in der Firmware des Rechners. Nach Aussagen von Hudson lässt sie sich nicht ohne Weiteres entfernen.
Der Zugang zum System ist möglich, weil während der frühen Phase des Bootvorgangs keine Überprüfung der Hardware und der darin enthaltenen Firmware stattfindet. Diese neue Art von Bootkits könne System Mangement Mode (SMM), Virtualisierung und andere Techniken nutzen, um nicht entdeckt zu werden. Da sich der Schadcode direkt in der Firmware des Rechners befindet, übersteht er die Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Lediglich über ein „hardware in-system-programming device“ lasse sich die Original-Firmware wiederherstellen.
“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue Klasse von Firmware-Bootkits für Macbook-Systeme. Hudson will außerdem zeigen, wie Thunderstrike Apples öffentlichen RSA-Key im ROM austauscht und verhindert, diesen zu ersetzen.
Ein von Thunderstrike befallenes Macbook infiziert außerdem andere Thunderbolt-Geräte, sobald diese an den Rechner angeschlossen werden. Dies ist möglich, weil die Firmware dieser Devices während des Bootvorgangs beschrieben werden können. Hudson will auch zeigen, wie man die Lücke mit einen Patch schließen kann. Er gibt allerdings zu bedenken, dass das Hauptproblem im generell unsicheren Bootprozess ohne Überprüfung der Hardware liegt.
[Mit Material von Martin Schindler, silicon.de]
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
