News Black Hat: Demonstration eines EFI-Rootkits für Macs

[Fetter Fettsack]

Auf der BlackHat-Sicherheitskonferenz, die derzeit in den USA abgehalten wird, gelang es einem australischen Forscher das EFI eines MacBook Air mit einem Rootkit zu infizieren. Dies gelang ihm über die Verwendung eines modifizierten Thunderbolt-Ethernet-Adapters; eine Methode, die bislang noch unbekannt war.

Zur News: Black Hat: Demonstration eines EFI-Rootkits für Macs

 

[Benni22]

Hätte ich jetzt nicht erwartet, dass man über den Thunderbolt Anschluss solche Aktionen durchführen kann.

PS: Kein manuelles freischalten der Beiträge?

 

[Taigabaer]

"Dies gelang ihm über die Verwendung eines modifizierten Thunderbolt-Ethernet-Adapters; eine Methode, die bislang noch unbekannt war."

Ähm ja, da kann er aber auch gleich Tastatur + Maus bedienen wenn er am Rechner rumschraubt.

 

[Heelix]

Knackpunkt ist der Physische Zugriff auf das ganze, verliert damit für den privaten User an relevanz.

Für Unternehmen gibt es dann wieder interne Richtlinien an die sich unfähige Mitarbeiter nicht halten.

 

[Fetter Fettsack]

Ähm ja, da kann er aber auch gleich Tastatur + Maus bedienen wenn er am Rechner rumschraubt.

Lies dir bitte das gegen Ende des Newstextes verlinkte PDF-Dokument durch, dann wirst du sehen, dass das nicht so einfach ist, wie du es hier darstellst.

 

[Jethro]

Mal gespannt was da noch alles kommt, anscheinend beschäftigen sich ja zurzeit immer mehr Leute mit Angriffsmöglichkeiten auf Macs.

 

[Duellking]

Ist diese Angriffsmöglichkeit nur auf Macs getestet oder theoretisch frei auf jeden EFI (UEFI?) System erweiterbar?

 

[c2ash]

Lies dir bitte das gegen Ende des Newstextes verlinkte PDF-Dokument durch, dann wirst du sehen, dass das nicht so einfach ist, wie du es hier darstellst.

Ähhm, ich habs mir durchgelesen.
Also der Angreifer hat physischen Zugriff auf das Gerät. Warum ist jetzt die Aussage von Taigabaer falsch??

 

[MrToastbrot]

Kann ich jetzt z.B. einen solchen modifizierten Adapter auf eBay verkaufen, jemand kauft ihn, steckt in ein und sein Mac ist infiziert? Oder muss ich am Mac selbst noch etwas machen, damit dieser infiziert wird?

 

[DunklerRabe]

Wegen dem physischen Zugriff auf das System ist dieser Beitrag ziemlich uninteressant. Außerdem wird hier auf Möglichkeiten zurückgegriffen, die by Design Teil von EFI und Thunderbolt sind.
Das ist zum einen die Möglichkeit in EFI Treiber nachzuladen und zum anderen der DMA von Thunderbolt. Letzter wird aber wohl garnicht benutzt, womöglich um das Rad neu zu erfinden oder so.

Das man darüber einen "Angriff" durchführen kann ist zwar richtig, die ganzen Umstände machen es aber weitestgehend uninteressant.
Wenn man diese ""Sicherheitslücken"" stopfen würde, dann würde eine große Portion Komfort verloren gehen.

Und im Grunde hat Taigabaer durchaus völlig Recht.

 

[[F]L4SH]

Ist das nicht das fundamentale Sicherheitsproblem von Thunderbolt (und FireWire), dass der Port über PCIe irgendwie direkten Hardwarezugriff hat?
Ich meine - für die allgemeine Sicherheit spielt das vordergründig keine Rolle. Hacks passieren übers Netz.
Aber nun stellt euch mal vor, irgendwelche Hotspots an dubiosen Orten werden mit diesen Adaptern ausgestattet und Besucher, die ihr Macbook anschließen sind infiziert. Oder diese Adapter werden von kriminellen als billige "China Kopie" verkauft und haben noch ein geheimes "Feature".

 

[Fetter Fettsack]

Also der Angreifer hat physischen Zugriff auf das Gerät. Warum ist jetzt die Aussage von Taigabaer falsch??

Sie geht meinem Verständnis nach insofern an der Sache vorbei, als dass diese Attacke eher dafür geeignet ist, durch simples anstecken allein die Infektion herbeizuführen. Es bedarf somit keines speziell bewanderten unmittelbaren Ausführers, der eigentliche kann auch Mittelsmänner/frauen einsetzen, die von Computern kaum Ahnung haben.

Wie ja auch schon angemerkt wurde, ist diese Variante vor allem für professionelle Aggressoren interessant, sodass etwa das Evil-Maid-Szenario kein unwahrscheinliches ist. Genau da braucht man dann eben kein Dienstmädchen, dass eine Kapazität auf diesem Gebiet ist, sondern eben nur eine, die in der Lage ist, einen Thunderboltanschluss von einem USB-, Firewire oder Ethernetanschluss (den ein MacBook Air afaik eh nicht hat) zu unterscheiden.

Im Übrigen wollte ich nicht sagen, dass Taigabärs Aussage falsch ist, sondern, dass sie bei dem eigentlichen Anwendungsgebiet dieser Methode kein echtes Gegenargument darstellt.

 

[Hancock]

Taigabaer hat auch unrecht, weil man mit Maus und Tastatur eben nicht "einfach" so das EFI verändern kann. Das ist ja ein geschlossenes System. Du kannst nur mit Maus und Tastatur ja auch nicht einfach ein neues EFI draufflashen (v.a. wenn du das PW nicht hast). Aber du steckst ein Dongle ein und hast permanent Super-Root-Rechte, das ist was neues.

 

[c2ash]

@Fetter Fettsack
Ich denke da hast du die Aussage von Taigabaer falsch ausgelegt.
Das hat er wahrscheinlich nicht gemeint, dass man noch zusätzlich was machen muss.
Er wollte nur darauf hinaus, dass man physischen Zugriff braucht und somit auch gleich das Gerät bedienen kann.

Ist aus der IT-Sicht ganz nett, aber da kann ich auch gleich die HDD aus dem Gerät schnell ausbauen und auslesen.
Bei bisherigen Rootkits war es eh so, dass man schon kompletten Zugriff hatte um den Rootkit zu installieren. Also wenn man schon komplette Root-Rechte hat, dann kann ich gleich was in das OS-injezieren, was in der Praxis wohl auch häufiger der Fall ist.

@Hancock
Das wollte Taigabaer auch damit nicht sagen.
Ich glaube ihr interpretiert das falsch.

 

[Knuddelbearli]

einfach diese adapter sehr billig auf ebay verkaufen und schon hat man ein rießen botnetzwerk und vollen zugriff auf jeden infizierten pc wo auch neuinstallation nicht hilft!

 

[Fetter Fettsack]

Er wollte nur darauf hinaus, dass man physischen Zugriff braucht und somit auch gleich das Gerät bedienen kann.

Ist aus der IT-Sicht ganz nett, aber da kann ich auch gleich die HDD aus dem Gerät schnell ausbauen und auslesen.
Bei bisherigen Rootkits war es eh so, dass man schon kompletten Zugriff hatte um den Rootkit zu installieren. Also wenn man schon komplette Root-Rechte hat, dann kann ich gleich was in das OS-injezieren, was in der Praxis wohl auch häufiger der Fall ist.

Dann halte ich seine Aussage für zu kurz gedacht, denn genau in dem von mir genannten Szenario (Evil-Maid) hat man eben nicht die Zeit, sich so umständlich an dem Rechner schaffen zu machen. Wenn man nur kurz anstecken und einmal starten lassen muss, bis man wieder weggehen kann, dann ist das ein entscheidender Vorteil, der das Entdeckungsrisiko der angreifenden Person verringert.

Außerdem geht es ja bei den verschlüsselten Platten darum, das Passwort zu erlangen und für genau sowas kann man diese Lücke verwenden.

 

[c2ash]

@Fetter Fettsack

Als Gegenmaßnahme wird ja empfohlen ein Passwort zu vergeben.
Also ich würde jetzt nicht so viel in diese Angriffsmöglichkeit reininterpretieren.

Schlimmer finde ich UEFI-Secure Boot. Dazu gibt es einen Artikel in der aktuellen c't.

 

[DaBzzz]

Ist das nicht das fundamentale Sicherheitsproblem von Thunderbolt (und FireWire), dass der Port über PCIe irgendwie direkten Hardwarezugriff hat?

Ich dachte es eben auch, Thunderbolt, das Firewire 2.0? Warum macht grade Apple wieder das Fass mit dem direkten Hardwarezugriff (damals RAM, jetzt EFI?) auf?

 

[Fetter Fettsack]

Als Gegenmaßnahme wird ja empfohlen ein Passwort zu vergeben.
Also ich würde jetzt nicht so viel in diese Angriffsmöglichkeit reininterpretieren.

Das Passwort bringt aber bei Thunderbolt nichts, weil dieser Standard eben direkt auf den PCI zugreift. Dort greift das Passwort nicht.

 

[theOH]

wenn mich nicht alles täuscht gibt es speichermedien, die TB verwenden...

szenario a:

das würde doch heißen, dass wenn sich ein ahnungsloser nutzer, diese schadsoftware auf die externe TB festplatte laden könnte und beim nächsten starten greift das rootkit - ohne sein wissen...

szanrio b: es werden schon infizierte speichermedien ausgeliefert und keiner merkts

oder irre ich mich da?