Thunderstrike 2: Grobe Sicherheitslücken erlauben Firmware-Wurm für Macs

Das Bootkit «Thunderstrike» ist in einer erweiterten Form weiterhin eine Gefahr für Mac-Anwender. Neuentdeckte Sicherheitslücken erlauben dem Firmware-Wurm die selbstständige Fortpflanzung über am Mac angeschlossene Thunderbolt-Geräte.

Stefan Rechsteiner

Ende 2014 sorgte das weltweit erste bekannte Bootkit für OS X, «Thunderstrike», für Aufsehen. Die Malware erlaubt das Öffnen einer Backdoor in der Firmware des Computers. Von dort aus kann es sich auf Thunderbolt-Geräte mit Option ROM, welches ebenfalls manipuliert wird, verteilen. Diese Geräte übertragen die Malware dann auf weitere Macs, an denen sie angeschlossen werden. Die Infizierung passiert sobald das Gerät beim Herauffahren der Macs angeschlossen ist.

Mit OS X 10.10.2 behob Apple den Grossteil der Sicherheitslücke, die «Thunderstrike» erst möglich machte. Nun haben aber die ursprünglichen Entdecker von Thunderstrike — Xeno Kovah und Trammell Hudsonherausgefunden, dass die Gefahr in einer abgeänderten Form noch immer aktiv ist. Neuentdeckte Sicherheitslücken ermöglichen die Malware in einer erweiterten Form weiterhin.

Kein physikalischer Zugang zum Mac mehr nötig

War bei «Thunderstrike» noch ein physikalischer Zugang zu einem Computer vonnöten, um die Malware zu verteilen, ist bei der neuen Version — «Thunderstrike 2» — kein physikalischer Zugang zu den Computern mehr notwendig. Die Sicherheitsexperten informieren, dass die neue Malware auch über Phishing-E-Mails oder manipulierte Web-Seiten geladen werden könne. Sobald der Wurm geladen ist, infiziere dieser angeschlossene Geräte mit Option ROM. Als Geräte mit Option ROM nennen die Experten beispielsweise Apples eigener Thunderbolt-zu-Gigabit-Ethernet-Adapter, oder externe SSDs. Sobald das angeschlossene Gerät mit Thunderstrike 2 infiziert sei, verteile es sich auf künftig angeschlossene andere Macs weiter.

Schwierig zu entfernen

Die meisten Viren-Scanner oder Anti-Malware-Tools können Bootkits nicht erkennen, da diese direkt in der Firmware, und nicht im RAM oder auf der Festplatte abgelegt werden. Dies ist auch der Grund, weshalb ein Austauschen oder eine Neuformatierung der Festplatte die Malware nicht entfernen kann. Überhaupt ist das Entfernen der Malware eher kompliziert, denn Thunderstrike kann nicht durch Thunderstrike selbst entfernt werden, wie Sicherheitsexperten warnen — eine infizierte Firmware behebt die ursprüngliche Sicherheitslücke nämlich selbst.

Sechs EFI-Lücken & DYLD

Die Sicherheitsexperten entdeckten sechs Lücken in fast allen EFI-Firmwares. Die Lücken sind entsprechend nicht nur bei Macs, sondern auch bei PCs von HP, Lenovo, Samsung, Dell und weiteren zu finden. Von diesen sechs entdeckten Lücken sind fünf davon bei den in den Macs eingesetzten EFI-Firmwares aktiv. Apple hat mit OS X 10.10.2 eine davon komplett und eine weitere zum Teil geflickt. Die drei anderen Lücken sind bisher noch nicht gepatched.

Damit die Firmware manipuliert werden kann, setzt Thunderstrike 2 tatsächlich aber auf eine andere Sicherheitslücke. Durch die «DYLD» genannte Lücke in OS X 10.10 «Yosemite» können Schadprogramme auf Macs installiert und ausgeführt werden, ohne dass dafür ein Passwort benötigt wird.

Die Sicherheitsexperten informierten Apple über die Lücken. Es darf gehofft werden, dass das Unternehmen die noch bestehenden Sicherheitslücken möglichst rasch in künftigen OS-X-Versionen und Firmware-Updates beheben wird. Theoretisch sind alle Macs mit Thunderbolt-Anschluss (die meisten Apple-Computer seit 2011) angreifbar. In den Vorabversionen von OS X 10.11 «El Capitan» ist die «DYLD»-Lücke bereits behoben.

Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen

3 Kommentare

Anmelden um neue Kommentare zu verfassen

Allegra Leser! Nur angemeldete Nutzer können bei diesem Inhalt Kommentare hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.