Thunderstrike 2: Schädling für MacBooks verbreitet sich über Thunderbolt
Bereits in der Vergangenheit hatten Sicherheitsforscher Möglichkeiten entdeckt, über das EFI eines MacBooks das System anzugreifen und einen Schädling einzuschleusen. Nun wurde mit Thunderstrike 2 ein neuer EFI-Wurm von Xeno Kovah und Trammel Hudson vorgestellt, der sich über Thunderbolt-Adapter oder Peripherie verbreitet.
Da sich Thunderstrike 2 im EFI von MacBooks festsetzt, ist dieser für herkömmliche Sicherheitsmechanismen nicht zu erkennen. Darüber hinaus schafft auch die Neuinstallation des Betriebssystems oder der Austausch der Datenträger keine Abhilfe. Besonders problematisch ist der Schädling, weil er auch aus der Ferne über eine manipulierte Website eingeschleust werden kann. Dabei sind gleich drei Schwachstellen im EFI gefunden worden, die den Angriff ermöglichen.
Der Wurm ist auch für Systeme von Unternehmen gefährlich, die aufgrund der Netzwerkstruktur für einen Angriff auf spezifische Rechner eigentlich nicht in Betracht kommen. Der Grund liegt darin, dass Thunderstrike 2 nach der Infizierung des MacBooks nach Peripherie mit Option ROM Ausschau hält, wie beispielsweise Thunderbolt-auf-Ethernet-Adapter oder auch externe Datenträger. Wird ein solches Gerät angeschlossen, wird die Malware übertragen und kann sich so potenziell auf den nächsten Computer übertragen.
Ursprünglich hatten die Sicherheitsforscher fünf Sicherheitslücken im EFI der MacBooks gefunden und diese Apple gemeldet. Das Unternehmen aus Cupertino hat daraufhin reagiert und die erste bereits vollständig geschlossen und eine zweite teilweise entfernt. Darüber hinaus wollen die Sicherheitsforscher im Rahmen der Black-Hat-Konferenz weitere Details zu dem Thema veröffentlichen und gleichzeitig Tools präsentieren, mit welchen sich das Option ROM der Peripherie bereinigen lässt. Entsprechende Mittel stehen aber nicht für infizierte Firmware von Macs zur Verfügung.