Lücke in Firmware ermöglicht Rootkit-Einschleusung unter OSX

In der Firmware vieler Apple-Laptops liegt eine Sicherheitslücke vor, die es einem Cyberkriminellen ermöglichen könnte, das BIOS zu überschreiben und ein Rootkit zu installieren, und so die vollständige Kontrolle über den Mac zu erlangen.

Diese Lücke besteht im UEFI einiger veralteter MacBooks. Wie der Forscher Pedro Vilaca herausfand, wird beim Erwachen aus dem Schlafmodus die Zugriffssperre des MacBooks aus dem Userland aus irgendeinem Grund deaktiviert.

„Die Frage ist: Und wo ist nun das Problem?“, schreibt Vilaca und erklärt das Wesen der Sicherheitslücke und der entsprechenden Attacke. „Das Risiko besteht darin, dass es möglich werden könnte, den Inhalt des BIOS aus dem Userland zu überschreiben und ein Rootkit in das EFI einzuschleusen, wobei man nichts anderes braucht als den Zyklus ‚Schlafmodus – Aufwachen aus dem Schlafmodus“, eine Kernelerweiterung, ein Flash-ROM und Root-Zugriff.“

Diese Attacke erinnert in mancherlei Hinsicht an Thunderstrike, ein Bootkit, das Ende letzten Jahres entdeckt wurde. Damals gelang es einem Forscher im Rahmen eines Experiments ein Bootkit über den Anschluss eines Peripheriegeräts zu installieren, und zwar unter Verwendung der Technologie Thunderbolt. Im Rahmen einer PoC-Attacke konnte Trammel Hudson einen Schädling einschleusen, der eine Neuinstallation des Betriebssystems unbeschadet überlebte, ebenso wie die von Vilaca entwickelte Malware.

„Da dies das erste Bootkit für die Firmware von Geräten ist, die unter OS X laufen, gibt es bisher noch keine entsprechenden Scanner“, schrieb Hudson im Januarbericht über seine Präsentation. „Das Bootkit kontrolliert das System, angefangen mit dem ersten Befehl, wodurch es ihm möglich ist, die Tastaturbetätigungen, inklusive der Chiffrierungsschlüssel der Festplatten zu protokollieren, Backdoors in den Betriebssystemkern einzuschleusen und den Passwortschutz der Firmware zu umgehen. Das Bootkit lässt sich nicht durch Software entfernen, da es die zur Signatur verwendeten Schlüssel und die Aktualisierungsprogramme kontrolliert. Auch durch eine Neuinstallation von OS X wird man es nicht los. Der Austausch der SSD-Platte ist ebenfalls keine Lösung, da darauf nichts gespeichert wird.“

In einer E-Mail erklärte Vilaca, das von ihm entdeckte Problem sei gefährlicher als Thunderstrike. „Jeder, der die Möglichkeit erhält, Attacken nach Art von Thunderstrike durchzuführen, kann diesen Bug mit minimalem Aufwand ausnutzen“, erklärte der Experte den Journalisten von Threatpost. „Der Effekt ist größer als bei Thunderstrike, da die Möglichkeit für entfernte Attacken eröffnet wird, während Thunderstrike im Wesentlichen nur lokal anwendbar ist, bei physischem Kontakt zu dem angegriffenen Gerät.“

Im Rahmen seiner Untersuchung führte Vilaca ähnliche Angriffe auf MacBook Pro Retina, MacBook Pro 8.2 und MacBook Air durch, wobei auf allen diesen Geräten die neusten EFI-Versionen installiert waren. Versuche bestätigten seine These über die Möglichkeit von entfernten Angriffen. „Dieser Bug kann mit einem Safari- oder einem anderen entfernten Vektor für Attacken ausgenutzt werden, die die Installation eines EFI-Rootkits ohne physischen Kontakt mit dem Gerät zum Ziel haben. Die einzige Bedingung ist, dass der Übergang in den Schlafmodus im Laufe der aktuellen Sitzung vollzogen werden muss. Ich habe es nicht selbst ausprobiert, aber ich glaube, es gibt die Möglichkeit, das Gerät zu zwingen, in den Schlafmodus zu wechseln und das Exploit entfernt auszuführen. Das ist schon ziemlich abgefahren.“

Vilaca ist der Meinung, dass Apple höchstwahrscheinlich von dieser Sicherheitslücke weiß, da sie nicht mehr in Geräten enthalten ist, die nach Mitte 2014 auf den Markt kamen. „Das Problem ist meiner Ansicht nach, dass Apple scheinbar eine gewisse interne Einstellung zu Sicherheitsfragen hat (wie Microsoft vor vielen Jahren auch) und nur dann reagiert wird, wenn man sich in die Ecke getrieben sieht“, vermutet der Experte. „Wenn man bei Apple tatsächlich von diesem Bug weiß – denn ich glaube nicht, dass das Fehlen dieses Effekts auf neuen Geräten ein Zufall ist – so wollen sie die alten Versionen einfach nicht patchen.“

„Das ist eine schlechte Politik“, ergänzt der Experte. „Wenn das ihre Praxis ist, dann hätte das Unternehmen zumindest die Kunden informieren und sie vor dem Problem warnen müssen. Dann hätten diese selbst das Risiko abschätzen können. Doch das sind Wunschgedanken, man wird sich bei Apple nicht ins eigene Knie schießen, indem man mit solchen Dingen an die Öffentlichkeit geht. Die Unvollkommenheit einer modernen Unternehmenspolitik ist aber schon eher eine philosophische Frage.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.