Veröffentlichung eines Patches für die Thunderstrike-Sicherheitslücke in der neuen OS X-Version erwartet

Zusätzlich zu der Beseitigung dreier Sicherheitslücken, die in der letzten Woche von Project Zero beschrieben wurden, bereitet Apple sicher auch ein Patch für die Boot-Attacke Thunderstrike vor, das dann vermutlich alle Macs, die unter Yosemite laufen, von diesem Problem befreien soll.

Laut Quellen werden alle Schwachstellen in Yosemite 10.10.2, der nächsten OS X-Version, die sich noch im Stadium der Beta-Version befindet, beseitigt werden.

Auf der Nachrichten-Site von Apple, iMore.com, hieß es am Freitag, dass Apple den Code ändern musste, um „nicht nur zu verhindern, dass das Mac Boot ROM ausgetauscht wird, sondern es auch vor dem Zurücksetzen in einen Zustand zu schützen, in dem diese Attacke möglich sein würde.“

„Laut Personen mit Zugriff auf die letzte Beta-Version von OS X 10.10.2, denen Thunderstrike bekannt ist und die wissen, wie es funktioniert, ist das wirklich der tiefgehende, vielschichtige Prozess, der schließlich abgeschlossen wurde“, heißt es in der Publikation.

Der Pre-Release-Testlauf der neuen Yosemite-Version läuft schon mehrere Monate, doch die jüngste Beta-Version 10.10.2 (Build 14C106a) wurde den Nutzern letzten Donnerstag zugeschickt.

In der vergangenen Woche erfuhren wir, dass in der Beta-Version auch drei Sicherheitslücken geschlossen wurden, die davor von Googles Project Zero entdeckt worden waren. Die Bugs deckten ein Spektrum ab, das von Speicherkorruption bis zu Kernel-Code-Ausführung und sogar Sandbox-Escapes reicht. Apple wurde erstmals im Oktober darüber informiert, die öffentliche Bekanntmachung der Daten durch das Project Zero erfolgte, nachdem sich das entsprechende 90-tägige Zeitfenster letzte Woche geschlossen hatte.

Thunderstike, ein nicht detektierbares Bootkit, kann mittels schädlicher Geräte verbreitet werden, die mit dem Port Thunderbolt verbunden werden. Einzelheiten über das Exploit wurden erstmals veröffentlicht von dem New Yorker Experten Trammel Hudson, und zwar kurz nach Neujahr auf dem Chaos Communication Congress (31C3), einer IT-Sicherheitskonferenz in Hamburg.

Hudson hatte schon vorher davor gewarnt, dass das Bootkit gespeichert werden kann, indem es Root-Zugriff erhält, was alle Daten und den Web-Traffic auf einem infizierten Rechner dem Risiko aussetzen würde, ausspioniert zu werden.

Obgleich Apple dieses Problem auf seinen Computern des Jahres 2014, Mac Mini и iMac Retina 5K, beseitigt hat, bleibt das Notebook MacBook angreifbar für Downgrade-Attacken, zumindest so lange, bis das Patch vollständig installiert ist.

Am Montag erklärte Hudson, dass er bisher noch keine Zeit gefunden habe, sich die Beta-Version anzusehen, brachte dabei allerdings eine gewisse Skepsis zum Ausdruck.

Hudson bestätigte, dass die Version, die er in Hamburg getestet hat, MBP101_00EE_B06, gegenüber genau dieser Downgrade-Attacke angreifbar war. Er erklärte, das Problem daraufhin Apple-Vertretern dargelegt zu haben, das es Cyberkriminellen ermöglichen könnte, ältere Firmware zu starten, die gegenüber Thunderstike angreifbar ist.

Hudson fügte hinzu, dass dasselbe Build, B06, ebenfalls gegenüber gewöhnlichen Option ROM-Angriffen verwundbar sei, was ihn „wirklich verblüfft“ habe, da das eine Attacke des gleichen Typs ist, den Thunderstike zur Einschleusung der peripheren Firmware in das EFI benutzt, um die Rechner zu infizieren.

Das bedeutet, dass bis zum jetzigen Zeitpunkt noch viele Symptome von Thunderstike vorhanden sein könnten.

„Die Passwörter für den Zugriff auf die Firmware können leicht umgangen werden, wie Snare bereits vor mehr als zweieinhalb Jahren demonstriert hat, in boot.efi kann man eine Backdoor einschleusen usw.“, sagt Hudson.

Die Rede ist von dem australischen Wissenschaftler und Pen-Tester Snare, dessen Forschungen Hudson ursprünglich dazu veranlassten, sich mit diesem Projekt zu beschäftigen. Auf der Black Hat Konferenz im Jahr 2012 (.PDF) demonstrierte Snare, wie ein Rootkit unter Verwendung eines modifizierten Thunderbolt-Ethernet-Adapters FileVault deaktivieren und das EFI des Rechners manipulieren kann.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.