Thunderstrike 2: Erster Firmware-Wurm für Macs entwickelt

4. August 2015, 10:13
7 Postings

Forscher beweisen, dass auch Apple-Rechner anfällig für Lücken in der Gerätesoftware sind

In den vergangenen Monaten wurden einige Lücken bekannt, die die Firmware zahlreicher Laptops betraf. Auch Apple war darunter. Am vergangenen Chaos Computer Congress zeigte der Forscher Trammell Hudson auch, wie sich Schadsoftware beinahe unentdeckbar in Apple-Rechnern einnisten lässt, und lieferte mit "Thunderstrike" auch gleich einen Proof-of-Concept dazu.

Das Problem ist allerdings weitreichender, als es zunächst aussieht, erklären nun Sicherheitsforscher gegenüber "Wired". Die Software, die auf unterster Ebene dazu dient, einen Rechner und einzelne Hardwarekomponenten zu steuern – BIOS oder (U)EFI –, basiert nämlich meist auf Referenzumsetzungen. Weist die Firmware eines Herstellers ein Leck auf, ist die Chance hoch, dass auch viele andere betroffen sind – auch Macs.

Weil EFI- und BIOS-Software oft auf Referenzumsetzungen basiert, betrifft eine Lücke oft mehrere Hersteller und viele Geräte. Auch Apple-Rechner sind keine Ausnahme.

Gefahr

Nistet ein Schädling einmal in der Firmware des Rechners oder einer Hardwarekomponente, ist er nur dadurch wegzubekommen, indem man den entsprechenden Chip vollständig mit unverseuchtem Code beschreibt. Die Festplatte zu formatieren böte keine Abhilfe. Herkömmliche Antivirensoftware erkennt Infektionen auf diesem Level üblicherweise auch nicht.

Im Rahmen einer Infektion auf "traditionellem Wege" müsste sie auch nur einmal überlistet werden. Sie könnte beispielsweise im Anhang einer Phishing Mail oder via manipulierte Website auf das System geschleust werden. Praktisch wehrlos wäre man als Endverbraucher bei einem anderen Infektionsweg – nämlich dann, wenn ein gekauftes Gerät von einem Händler oder bereits in der Fabrik verseucht wurde.

"Firmworm"

Das Potenzial, das sich mit einem selbstvermehrungsfähigen Firmware-Wurm entfalten ließe, zeigen Hudson und sein Kollege Xeno Kovah nun mit dem "Firmworm" namens Thunderstrike 2. Dieser ist in der Lage, Adapter zu befallen, die es ermöglichen, einen Thunderbolt-Port als Netzwerkanschluss (RJ45) zu verwenden. Jedes Mal, wenn der Adapter dazu genutzt wird, sich mit anderen Rechnern zu verbinden, könnte er sich auch auf diesen einnisten, sofern sie ebenfalls über Peripheriegeräte mit passendem ROM-Chip verfügen. Neben Netzwerkadaptern ließen sich etwa auch externe SSDs und andere Geräte infizieren.

In seiner Funktionsweise vergleichen sie Thunderstrike 2 mit Stuxnet, das einst zur Infiltrierung iranischer Atomanlagen genutzt worden war. Auf diesem Wege wären selbst Rechner im "Air Gap", also ohne Anbindung an irgendein Netzwerk, erreichbar – nämlich dann, wenn ein solcher Rechner für Datenaustausch kurz mit einem anderen Computer oder einem Datenträger verbunden wird. Der Wurm könnte wichtige Informationen aufzeichnen, nach dem gleichen Prinzip hinaustransportieren oder das Zielsystem aktiv beeinflussen.

legbacore

"Schmeiß-deinen-Computer-Weg-Situation"

Der Unterschied: Stuxnet operierte als Windows-Kerneltreiber. Dadurch, dass er auf Ebene des Betriebssystems eingebettet war, ließ er sich letztlich leicht bekämpfen. Das gilt jedoch nicht für Malware auf Firmware-Level.

Für gewöhnliche Nutzer wäre eine solche Infektion nach Ansicht der Wissenschafter eine "Schmeiß-deinen-Computer-weg-Situation". Es sei schon schwierig, den Befall zu erkennen. Für den normalen Verbraucher sei es aber nahezu unmöglich, ihn zu beseitigen. Kaum jemand verfügt über die Kenntnisse und das Equipment, seinen Laptop zu öffnen und den Firmware-Chip neu zu programmieren.

Apple-Firmware ist nicht sicherer

"Die Leute hören von Angriffen auf PCs und gehen davon aus, dass Apple-Firmware besser sei", erklärt Kovah. "Also versuchen wir klarzumachen, dass es im Grunde alle x86[-Rechner]betrifft, wenn es um Angriffe auf EFI-Firmware geht." Das Team konnte fünf Schwachstellen bei Macs ausmachen. Eine wurde von Apple bereits ganz behoben, eine zum Teil, drei blieben bisher unbehandelt.

Gegenstrategien

Die Forscher schlagen auch mögliche Gegenstrategien vor. Sie empfehlen den Hardwareherstellern, ihre Firmware sowie Updates zu signieren und die Hardware mit entsprechenden Verifikationsmechanismen auszustatten. Sollte ein Dritter in Besitz des Schlüssels kommen – denkbar wäre etwa wie NSA –, wäre es hilfreich, wenn Nutzern ein einfacher Weg offen stünde, die Firmware auszulesen, etwa um zu prüfen, ob Veränderungen vorgenommen würden. Dazu könnte man auch auf einen Prüfsummenabgleich zurückgreifen.

Solange die Nutzer solche Maßnahmen aber nicht lautstark fordern, werden sie darauf angewiesen bleiben, dass die Hersteller bei Bekanntwerden von Lücken schnell reagieren. Dies sei allerdings derzeit eher die Ausnahme. Ihre Erkenntnisse werden Hudson und Kovah auf der kommenden Black Hat-Konferenz in Las Vegas präsentieren. (gpi, 4.8.2015)

Share if you care.