31C3: Thunderstrike kann Macbooks kom­pro­mit­tie­ren

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt. Hierfür nutzt Hudson eine seit zwei Jahren bekannte Lücke in der Firmware-Architektur der Apple-Rechner. Über das Extensible Firmware Interface (EFI) schleust er mit einer präparierten Thunderbolt-Boot-ROM seine auf „Thunderstrike“ benannte Malware auf das Macbook. Anders als bei der vor zwei Jahren erstmals gezeigten Schwachstelle wird die Malware nicht auf der Festplatte abgespeichert, wovon sie einfach gelöscht werden könnte, sondern direkt in der Firmware des Rechners. Nach Aussagen von Hudson lässt sie sich nicht ohne Weiteres entfernen.

Der Zugang zum System ist möglich, weil während der frühen Phase des Bootvorgangs keine Überprüfung der Hardware und der darin enthaltenen Firmware stattfindet. Diese neue Art von Bootkits könne System Mangement Mode (SMM), Virtualisierung und andere Techniken nutzen, um nicht entdeckt zu werden. Da sich der Schadcode direkt in der Firmware des Rechners befindet, übersteht er die Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Lediglich über ein „hardware in-system-programming device“ lasse sich die Original-Firmware wiederherstellen.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue Klasse von Firmware-Bootkits für Macbook-Systeme. Hudson will außerdem zeigen, wie Thunderstrike Apples öffentlichen RSA-Key im ROM austauscht und verhindert, diesen zu ersetzen.

Ein von Thunderstrike befallenes Macbook infiziert außerdem andere Thunderbolt-Geräte, sobald diese an den Rechner angeschlossen werden. Dies ist möglich, weil die Firmware dieser Devices während des Bootvorgangs beschrieben werden können. Hudson will auch zeigen, wie man die Lücke mit einen Patch schließen kann. Er gibt allerdings zu bedenken, dass das Hauptproblem im generell unsicheren Bootprozess ohne Überprüfung der Hardware liegt.

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt (Bild: Trammel Hudson).

[Mit Material von Martin Schindler, silicon.de]