31C3: Thunderstrike kann Macbooks kom­pro­mit­tie­ren

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt. Hierfür nutzt Hudson eine seit zwei Jahren bekannte Lücke in der Firmware-Architektur der Apple-Rechner. Über das Extensible Firmware Interface (EFI) schleust er mit einer präparierten Thunderbolt-Boot-ROM seine auf „Thunderstrike“ benannte Malware auf das Macbook. Anders als bei der vor zwei Jahren erstmals gezeigten Schwachstelle wird die Malware nicht auf der Festplatte abgespeichert, wovon sie einfach gelöscht werden könnte, sondern direkt in der Firmware des Rechners. Nach Aussagen von Hudson lässt sie sich nicht ohne Weiteres entfernen.

Der Zugang zum System ist möglich, weil während der frühen Phase des Bootvorgangs keine Überprüfung der Hardware und der darin enthaltenen Firmware stattfindet. Diese neue Art von Bootkits könne System Mangement Mode (SMM), Virtualisierung und andere Techniken nutzen, um nicht entdeckt zu werden. Da sich der Schadcode direkt in der Firmware des Rechners befindet, übersteht er die Neuinstallation des Betriebssystems oder den Austausch der Festplatte. Lediglich über ein „hardware in-system-programming device“ lasse sich die Original-Firmware wiederherstellen.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue Klasse von Firmware-Bootkits für Macbook-Systeme. Hudson will außerdem zeigen, wie Thunderstrike Apples öffentlichen RSA-Key im ROM austauscht und verhindert, diesen zu ersetzen.

Ein von Thunderstrike befallenes Macbook infiziert außerdem andere Thunderbolt-Geräte, sobald diese an den Rechner angeschlossen werden. Dies ist möglich, weil die Firmware dieser Devices während des Bootvorgangs beschrieben werden können. Hudson will auch zeigen, wie man die Lücke mit einen Patch schließen kann. Er gibt allerdings zu bedenken, dass das Hauptproblem im generell unsicheren Bootprozess ohne Überprüfung der Hardware liegt.

Sicherheitsforscher Trammel Hudson zeigt heute Abend auf dem 31. Chaos Computer Congress (31C3) in Hamburg ein Proof of Concept, mit dem sich Malware auf ein Macbook einschleusen lässt (Bild: Trammel Hudson).

[Mit Material von Martin Schindler, silicon.de]

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago