Firmware-Exploits: Mac OS genauso anfällig wie Windows
Das haben die Sicherheitsexperten Trammell Hudson und Xeno Kovah aufgezeigt. Ihr Wurm Thunderstrike 2 kann sich vor der Mehrzahl der Sicherheitssoftware verstecken und übersteht sogar eine Neuformatierung des Systems. Viele Beobachter gingen bislang davon aus, dass Apples geschlossenes System sicherer sei.
Mac-OS-Rechner sind für Angriffe auf Firmware-Ebene ebenso verwundbar wie Windows-PCs. Das haben jetzt die Sicherheitsspezialisten Trammell Hudson, Security Engineer bei Two Sigma Investments und Xeno Kovah, Geschäftsführer des auf IT-Sicherheit spezialiserten Beratungsunternehmens LegbaCore, aufgezeigt. So gelang es ihnen, mehrere bekannte Sicherheitslücken in der Firmware von PCs der relevantesten Hersteller auch für die Infektion von Mac-Rechnern auszunutzen.
Wie Wired berichtet, kann sich der von den Sicherheitsexperten Thunderstrike 2 genannte Wurm gleichermaßen über Netzwerkgrenzen hinweg verbreiten, wie man es bereits von seinen Gegenstücken aus dem Windows-Universum kennt. Thunderstrike 2 attackiert etwa Ethernet-Adapter und SSD-Platten. Er breitet sich aus, sobald diese an einen Mac angeschlossen werden. Ausgangspankt einer Attacke könnte sowohl eine infizierte E-Mail als auch eine Website sein.
Derlei Angriffe sind zwar äußerst komplex, dennoch sind sie insbesondere bei Geheimdiensten populär – und zwar aufgrund der Tatsache, dass sie nur sehr schwer zu entdecken und ebenso schwer abzuwehren sind. Überdies lassen sich betroffene Rechner nur sehr schwer wieder in einen sauberen Zustand zurückversetzen. Auch mit Firmware- oder Betriebssystemaktualisierungen lassen sie sich für gewöhnlich nicht beseitigen. Geheimdienste sind in der Lage, den dafür notwendigen Aufwand zu betreiben.
Da ein Firmware-Update auf die bestehende Firmware zurückgreift, kann eine dort vorhandene, schädliche Komponente Updates entweder verhindern oder sich im Verlauf des Updates einfach selbst neu installieren. Dass sich solche Attacken jedoch nicht mehr nur von Geheimdiensten durchführen lassen, machte ein 2014 von Kaspersky Lab entdecktes Firmware-Hacking-Tool ebenso deutlich wie eine im Februar ebenfalls von Kaspersky aufgedeckte Möglichkeit, die Firmware von Festplatten anzugreifen.
Die einzige Möglichkeit, die so eingeschleuste Schadsoftware zu beseitigen, besteht darin, den Chip mit der Firmware zu flashen. Gegenüber Wired sagt Xeno Kovah daher: “Der Angriff ist wirklich schwer zu entdecken, man wird ihn nur wirklich schwer wieder los und es ist wirklich schwer, sich gegen etwas zu schützen, was innerhalb der Firmware läuft.” Die meisten Betroffenen könnten nur ihren Rechner wegwerfen, da sie nicht in der Lage seien, ihn tatsächlich auseinander zu nehmen und die verbauten Chips zu reprogrammieren.
Der Code von Thunderstrike beruht auf Forschungen, die LegbaCore im vergangenen Jahr präsentiert hat. Die Berater stellten mit LightEater damals eine Malware vor, die sechs Schwachstellen ausnutzen kann. Letztere waren auf 80 Prozent der von ihnen untersuchten PCs, darunter solchen von Dell, HP und Lenovo, vorhanden. Fünf der Schwachstellen lassen sich ebenso für Attacken auf Macs nutzen. Grund sei, dass PC-Hersteller und Apple dazu tendierten, auf dieselben Referenzimplementierungen zu setzen.
Mit der letztes Jahr gezeigten Malware LightEater waren Kovah und sein damaliger Mitarbeiter Corey Kallenberg ebenfalls in der Lage, die Kontrolle über den System-Management-Modus zu übernehmen. Dabei handele es sich um eine Funktion von Intel-Prozessoren, die es einer Firmware erlaube, gewisse Aufgaben mit Rechten auszuführen, die sogar Administrator- oder Root-Rechte übertreffen. Damit war es ihnen möglich, Teile des BIOS-Chips neu zu schreiben und anschließend Rootkits zu installieren und Passwörter oder andere Daten von einem infizierten System zu erbeuten. Die Schadsoftware konnte außerdem Speicherinhalte auslesen, wodurch die Verschlüsselung des Betriebssystems umgangen werden konnte. Wie genau Thunderstrike 2 funktioniert, wollen Kovah und Hammond dann auf der Black-Hat-Konferenz am 6. August demonstrieren.
Apple sei über die Sicherheitslücken informiert worden und habe zumindest eine davon geschlossen sowie eine zweite teilweise behoben. “Einige Anbieter wie Dell und Lenovo haben sich sehr bemüht, Schwachstellen schnell aus ihrer Firmware zu entfernen”, erklärte Kovah gegenüber Wired. “Die meisten anderen Anbieter, darunter auch Apple, haben das jedoch nicht getan.”
Im Juni hatte der Sicherheitsforscher Pedro Vilaca unabhängig von Kovah und Hammond eine Schwachstelle in der Firmware älterer Mac-Modelle entdeckt. Davon waren Macs betroffen, die vor Mitte 2014 produziert wurden. Der Fehler ermöglicht es, das Unified Extensible Firmware Interface (UEFI) zu manipulieren und Rootkits einzuschleusen. Darauf haben Anwender in der Regel keinen Zugriff. Allerdings wird der Code entsperrt, sobald ein Mac aus dem Ruhezustand aufgeweckt wird. Dann ist es laut Vilaca möglich, den Code zu verändern.
Eine Komponente von UEFI ist die Sicherheitsfunktion Secure Boot. Sie soll das Booten auf signierte Bootloader beschränken und damit verhindern, dass Malware oder andere unerwünschte Programme den Start des Betriebssystems manipulieren. Vilaca zufolge kann über die Schwachstelle aber auch ein Rootkit installiert und damit Secure Boot ausgehebelt werden.
[mit Material von Peter Marwan, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de