Firmware-Hack über Thunderbolt manipuliert MacBooks

Martin Schindler,

Über die Schnittstelle lässt sich die Firmware im EFI-Boot-ROM eines Apple MacBooks dauerhaft manipulieren. Die Installation sei über Evil-Maid über die externe Schnittstelle von Thunderbolt zu bewerkstelligen. Weder ein neues Betriebssystem noch eine neue Festplatte kann die Malware wieder entfernen.

Apples MacBook Pro Retina bekommt einen neuen Prozessor und teilweise deutlich günstigere Preise. Quelle: Apple
Apples MacBook Pro Retina. Laut Sicherheitsforscher Trammell Hudson lässt sich die EFI Boot Firmware von MacBooks über Thunderbolt dauerhaft manipulieren. (Bild: Apple)

Der Sicherheitsforscher Trammell Hudson hat einen Weg gefunden, um über Thunderbolt-Geräte eine neue Klasse von Bootkits auf Apple Macintosch-Geräte zu schleusen. Hudson wird seine Entdeckung in der nächsten Woche auf dem Chaos Communications Congress präsentieren, der in Hamburg statt findet. Hudson werde, wie aus einer Zusammenfassung seines Vortrags hervorgeht, einen Weg demonstrieren, wie über die Thunderboltschnittstelle Code auf ein angegriffenes System geschleust werden kann.

Das Bootkit überstehe Reboots, eine Neuinstallierung des Betriebssystems und sogar den Austausch der Fetsplatte.

Zudem könne sich das Bootkit auch gegen Versuche, mit Software das Programm los zu werden zur Wehr setzen. Über kabellose Schnittstellen kann die Malware auch andere Thunderbolt-Geräte infizieren.

“Es ist möglich, eine Thunderbolt Option ROM zu verwenden, um die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen. Das erlaubt es einem Hacker mit physischen Zugriff auf ein System, unautorisierten Code in das SPI Flash ROM auf dem Motherboard zu schreiben. Gleichzeitig entsteht so auch eine neue klasse von Firmware-Bootkits für MacBook-Systeme.

Nachdem beim Booten des Systems weder kryptografische Überprüfungen noch Hardware-Checks durchgeführt werden, kontrolliere die Malware, wenn sie erst einmal in das ROM gespielt wurde, das System vom Start weg, führt Hudson, der sich intensiv mit ROMs beschäftigt, weiter aus. Über SMM oder andere Techniken könnte sich die Malware auch vor unterschiedlichen Analysen verbergen.

Der Proof of Concept, den Hudson auf dem CCC-Kongress präsentieren werde, tauscht auch Apples öffentlichen RSA-Key im ROM aus und verhindert auch weitere Software-seitige Versuche, diesen Key wieder auszutauschen. Nachdem die Boot-ROM nicht vom Betriebssystem abhängig ist, könne auch OS X die Malware nicht entfernen. Die Malware sei auch unabhängig von den Inhalten auf der Festplatte, daher lasse sich die Malware auch nicht mit einer neuen Festplatte beheben. “Ein Hardware In-System-Programming-Device ist der einzige Weg, um die ab Werk installierte Firmware wieder herzustellen”, so Hudson.

Über die Option ROMs der Thunderbolt-Geräte könne sich die Software auch an andere Thunderbolt-Geräte kopieren. Dabei bleibe die Funktion des betroffenen Gerätes erhalten. Der Nutzer würde also nichts von dieser Infektion spüren, warnt Hudson. Über Air-Gap-Sicherheits-Perimeter in geteilten Thunterbolt-Geräten könne sich die Malware ebenfalls verbreiten.

Die Beschriebene Verwundbarkeit nutze ein Sicherheitsleck in Option ROM, das seit etwa zwei Jahren bekannt ist. Diese Schwachstelle lasse sich schnell beheben. Die Eingangs beschriebene Schwachstelle in Apples EFI-Firmware und dem abgesicherten Boot-Modus sei hingegen deutlich schwieriger zu beheben, so Hudson.