Firmware-Hack über Thunderbolt manipuliert MacBooks

Apples MacBook Pro Retina. Laut Sicherheitsforscher Trammell Hudson lässt sich die EFI Boot Firmware von MacBooks über Thunderbolt dauerhaft manipulieren. (Bild: Apple)

Der Sicherheitsforscher Trammell Hudson hat einen Weg gefunden, um über Thunderbolt-Geräte eine neue Klasse von Bootkits auf Apple Macintosch-Geräte zu schleusen. Hudson wird seine Entdeckung in der nächsten Woche auf dem Chaos Communications Congress präsentieren, der in Hamburg statt findet. Hudson werde, wie aus einer Zusammenfassung seines Vortrags hervorgeht, einen Weg demonstrieren, wie über die Thunderboltschnittstelle Code auf ein angegriffenes System geschleust werden kann.

Das Bootkit überstehe Reboots, eine Neuinstallierung des Betriebssystems und sogar den Austausch der Fetsplatte.

Zudem könne sich das Bootkit auch gegen Versuche, mit Software das Programm los zu werden zur Wehr setzen. Über kabellose Schnittstellen kann die Malware auch andere Thunderbolt-Geräte infizieren.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue klasse von Firmware-Bootkits für MacBook-Systeme.

Nachdem beim Booten des Systems weder kryptografische Überprüfungen noch Hardware-Checks durchgeführt werden, kontrolliere die Malware, wenn sie erst einmal in das ROM gespielt wurde, das System vom Start weg, führt Hudson, der sich intensiv mit ROMs beschäftigt, weiter aus. Über SMM oder andere Techniken könnte sich die Malware auch vor unterschiedlichen Analysen verbergen.

Der Proof of Concept, den Hudson auf dem CCC-Kongress präsentieren werde, tauscht auch Apples öffentlichen RSA-Key im ROM aus und verhindert auch weitere Software-seitige Versuche, diesen Key wieder auszutauschen. Nachdem die Boot-ROM nicht vom Betriebssystem abhängig ist, könne auch OS X die Malware nicht entfernen. Die Malware sei auch unabhängig von den Inhalten auf der Festplatte, daher lasse sich die Malware auch nicht mit einer neuen Festplatte beheben. “Ein Hardware In-System-Programming-Device ist der einzige Weg, um die ab Werk installierte Firmware wieder herzustellen”, so Hudson.

Über die Option ROMs der Thunderbolt-Geräte könne sich die Software auch an andere Thunderbolt-Geräte kopieren. Dabei bleibe die Funktion des betroffenen Gerätes erhalten. Der Nutzer würde also nichts von dieser Infektion spüren, warnt Hudson. Über Air-Gap-Sicherheits-Perimeter in geteilten Thunterbolt-Geräten könne sich die Malware ebenfalls verbreiten.

Die Beschriebene Verwundbarkeit nutze ein Sicherheitsleck in Option ROM, das seit etwa zwei Jahren bekannt ist. Diese Schwachstelle lasse sich schnell beheben. Die Eingangs beschriebene Schwachstelle in Apples EFI-Firmware und dem abgesicherten Boot-Modus sei hingegen deutlich schwieriger zu beheben, so Hudson.

Redaktion

Recent Posts

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

2 Stunden ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Stunden ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Stunden ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

1 Tag ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

1 Tag ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

1 Tag ago