31c3: Malware "Thunderstrike" nistet tief in MacBooks

28. Dezember 2014, 10:47
253 Postings

Proof-of-Concept nutzt EFI-Lücke – Auch Austausch der Festplatte hilft nicht

Einen potenziell verheerenden Angriff auf MacBooks hat der Sicherheitsexperte Trammell Hudson vorgestellt. Die Malware "Thunderstrike" in der Lage, sich derart tief in einen Apple-Rechner einzunisten, dass man sie selbst mit radikalen Maßnahmen nicht loswird.

Nicht abzuwehren

Der Schädling findet seinen Weg über den Thunderbolt-Port auf den Rechner. Eine EFI-Lücke, die seit zwei Jahren bekannt ist, ermöglicht es ihm, sich in deren Boot-Prozess einzuklinken und damit tiefgreifende Kontrolle über das System zu übernehmen. Hudsons Proof-of-Concept tauschte etwa den Bootbildschirm des Geräts aus, könnte aber auch deutlich mehr Schaden anrichten.

Da dabei auch der RSA-Key von Apple im ROM überschrieben wird, ist deren Ursprungszustand nicht ohne den privaten Schlüssel des Angreifers wieder herstellbar, fasst Heise zusammen. Da sich "Thunderstrike" nicht auf der Festplatte einnisten muss, hilft weder eine Neuinstallation des Betriebssystems noch ein Tausch des Datenträgers. Auch ein Firmware-Passwort kann einen solchen Angriff nicht abwehren. Erschwerend kommt hinzu, dass sich das Booten über Thunderbolt systemseitig nicht ausschalten lässt.

Physikalischer Zugriff bei erstem Angriff notwendig

Die Schwäche dieser Angriffsmethode liegt darin, dass zumindest für die erste Infektion ein physischer Zugang zum Zielrechner erforderlich ist. Von diesem ausgehend ist aber eine Ausbreitung über andere Thunderbolt-Geräte denkbar. Hudson will in seinem Vortrag am Chaos Communication Congress (31C3) in Hamburg aber zeigen, wie man das Boot-ROM gegen "Thunderstrike" abdichten kann. (red, derStandard.at, 28.12.2014)

  • Der Proof-of-Concept von Thunderstrike tauscht als Beweis des Gefahrenpotenzials den Bootscreen aus.
    foto: trammell hudson

    Der Proof-of-Concept von Thunderstrike tauscht als Beweis des Gefahrenpotenzials den Bootscreen aus.

Share if you care.