Black Hat: Demonstration eines EFI-Rootkits für Macs
Auf der BlackHat-Sicherheitskonferenz, die derzeit in den USA abgehalten wird, gelang es einem australischen Forscher das EFI eines MacBook Air mit einem Rootkit zu infizieren. Dies gelang ihm über die Verwendung eines modifizierten Thunderbolt-Ethernet-Adapters; eine Methode, die bislang noch unbekannt war.
Dem Forscher – er ist unter dem Synonym „Snare“ bekannt – war es gelungen, den Adapter mit einem Gerätetreiber zu versehen, der sogleich nach einem Neustart des „angesteckten“ Rechners geladen wird. Während des dann folgenden Bootvorganges wird der Schadcode selbst ebenfalls geladen und ausgeführt. Infolgedessen wird der Kernel durch den Schadcode modifiziert.
Über besagten Treiber soll es auch möglich sein, die Eingabe eines Passwortes für die Entschlüsselung einer Festplatte via FileVault aufzuzeichnen. In einem Gespräch mit Heise gab der Programmierer darüber hinaus an, dass der Treiber ohne größere Probleme auch um anderweitige Funktionen erweiterbar sei. Als Beispiel wurde das Öffnen einer Reverse Shell nach erfolgreicher Infektion des Kernels genannt.
Die Angriffsmethodik selbst ist als sogenannte „Evil-Maid“-Attacke zu klassifizieren, da sie einen physischen Zugang zum jeweils als Ziel auserkorenen Rechner benötigt.
Die Platzierung des Rootkits im EFI ist insofern für einen Angriff auf einen Rechner sinnvoll, da der Schadcode auf diese Weise durch Neustarts nicht entfernt werden kann und auch auf der Festplatte selber keine eigenen Veränderungen von Seiten der Malware vorgenommen werden müssen.
Apple selbst soll schon vor Monaten über diese Schwachstelle informiert worden sein und die Funktionsfähigkeit eines solchen Angriffes bestätigt haben. Jedoch soll es aufgrund „technischer Möglichkeiten“ des Thunderbolt-Anschlusses nicht leicht sein, hier zeitnah Abhilfe zu schaffen.
Von „Snare“ selbst wird empfohlen, dass Nutzer zur Erschwerung einer solchen Attacke den Passwort-Schutz während der „Boot Device Selection“-Phase aktivieren. Damit kann zumindest das Risiko von Attacken, die nicht über PCI-Geräte erfolgen, verringert werden.
Eine umfassende Beschreibung des Vorgehens ist diesem PDF-Dokument (Englisch) zu entnehmen.