31C3: Thunderstrike kann Macbooks kom­pro­mit­tie­ren

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt. Hierfür nutzt Hudson eine seit zwei Jahren bekannte Lücke in der Firmware-Architektur der Apple-Rechner. Über das Extensible Firmware Interface (EFI) schleust er mit einer präparierten Thunderbolt-Boot-ROM seine auf „Thunderstrike“ benannte Malware auf das Macbook. Anders als bei der vor zwei Jahren erstmals gezeigten Schwachstelle wird die Malware nicht auf der Festplatte abgespeichert, wovon sie einfach gelöscht werden könnte, sondern direkt in der Firmware des Rechners. Nach Aussagen von Hudson lässt sie sich nicht ohne Weiteres entfernen.

Der Zugang zum System ist möglich, weil während der frühen Phase des Bootvorgangs keine Überprüfung der Hardware und der darin enthaltenen Firmware stattfindet. Diese neue Art von Bootkits könne System Mangement Mode (SMM), Virtualisierung und andere Techniken nutzen, um nicht entdeckt zu werden. Da sich der Schadcode direkt in der Firmware des Rechners befindet, übersteht er die Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Lediglich über ein „hardware in-system-programming device“ lasse sich die Original-Firmware wiederherstellen.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue Klasse von Firmware-Bootkits für Macbook-Systeme. Hudson will außerdem zeigen, wie Thunderstrike Apples öffentlichen RSA-Key im ROM austauscht und verhindert, diesen zu ersetzen.

Ein von Thunderstrike befallenes Macbook infiziert außerdem andere Thunderbolt-Geräte, sobald diese an den Rechner angeschlossen werden. Dies ist möglich, weil die Firmware dieser Devices während des Bootvorgangs beschrieben werden können. Hudson will auch zeigen, wie man die Lücke mit einen Patch schließen kann. Er gibt allerdings zu bedenken, dass das Hauptproblem im generell unsicheren Bootprozess ohne Überprüfung der Hardware liegt.

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt (Bild: Trammel Hudson).

[Mit Material von Martin Schindler, silicon.de]

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

25 Minuten ago

Automatic SEO macht SEO günstiger und besser: Was steckt dahinter?

Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…

2 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

17 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago