04 Sep

Thunderstrike Risiko

Thunderstrike Risiko

Der amerikanische Sicherheitsforscher Trammel Hudson hat eine Möglichkeit entdeckt, wie Schad-Code über die Thunderbolt-Schnittstelle auf ein angegriffenes System geschleust werden kann. Diese neue Art von Bootkit ist speziell für Apple Geräte mit EFI-Firmware ROM ausgelegt.

Hudson’s Bootkit übersteht ohne weiteres Reboots, eine Neuinstallation des OS X oder Windows Beriebsystems und sogar den Austausch der Festplatte oder der SSD.

[Bild 1: Lightning (A1286)] Apple MacBook A1286, auch dieses Gerät ist dem Thunderstrike Risiko ausgesetzt.

Apple MacBook A1286, auch dieses Gerät ist dem Thunderstrike Risiko ausgesetzt..


Über ein Thunderbolt Option ROM ist es möglich, die kryptografische Signatur-Überprüfung in Apples EFI-Firmware Upate Routinen zu umgehen.
Einem Angreifer mit physischem Zugriff auf ein System ist es so möglich, unautorisierten Code in das SPI Flash ROM auf dem Motherboard
zu schreiben. Dadurch entsteht gleichzeitig auch eine neue Art von Firmware-Bootkits für Apple MacBooks.

Da beim Booten des Systems weder kryptografische Überprüfungen noch Hardware-Checks durchgeführt werden, kontrolliert die Malware – wenn sie erst einmal in das ROM gespielt wurde – das System bereits ab Start. Versuche mit bestimmter Software das Programm zu entfernen sind vergebens, denn es ist in der Lage sich so gut zu verstecken, dass es von dieser nicht entdeckt werden kann.
Selbst über kabellose Schnittstellen kann die Malware über die Option ROMs auf andere Thunderbolt-Geräte übergreifen.
Der Anwender bemerkt davon nichts, da alle Funktionen wie gewohnt erhalten bleiben. Dieses Sicherheitsleck im Option ROM ist seit ca. 2012 bekannt (auch bei Apple) und ist eigentlich schnell zu schließen. Die Schwachstelle in Apples EFI-Firmware und dem abgesicherten Bootmodus ist hingegen nur mit Schwierigkeiten zu beheben. Ein Thunderstrike Risiko besteht somit weiterhin.

 

[Bild 2: Schnittstellen (A1286)] Die drei gängigen Schnittstellen zur Datenübertragung bei einem MacBook.

Die drei gängigen Schnittstellen zur Datenübertragung bei einem MacBook.

Der „Proof of Concept“, den Hudson auf dem CCC-Kongress präsentierte, tauschte auch Apples öffentlichen RSA-Key im ROM aus und verhinderte auch weitere Software-seitige Versuche, diesen Key wieder auszutauschen. Da die Boot-ROM nicht vom Betriebssystem abhängig ist, könne auch OS X die Malware nicht entfernen. Die Malware sei auch unabhängig von den Inhalten auf der Festplatte, daher lasse sich die Malware auch nicht mit einer neuen Festplatte beheben. Laut Hudson ist ein Hardware In-System-Programming-Device der einzige Weg, um die ab Werk installierte Firmware wieder herzustellen.
Oder man erneuert den betroffenen Boot-ROM Chip (Siehe Bild weiter unten) – ein Austausch, den wir auch durchführen können – und entfert so nachhaltig den Schadcode aus dem bzw mit dem EFI-BIOS. Wichtig ist dabei, dass keine anderen infizierten
Thunderbolt Geräte angeschlossen werden, sonst fängt man wieder von vorne an.

 

[Bild 3: Chip full(A1278)]

Das EFI-ROM ist der Chip auf den der Schad-Code zugreift und sich installiert.

 
Hier in unseren Beispielen haben wir zwei der bei uns befindliche Apple MacBooks abgebildet, die Modelle A1278 und A1286.
Es sind also tatsächlich nicht nur einige wenige, sondern alle Thunderbolt Macbooks betroffen.
Theoretisch auch solche, die zwar keine Thunderbolt Schnittstelle haben, wie z.B. das Apple MacBook mit der Modellbezeichung A1278,  aber auch ein programmierbares ROM besitzen.
Hier ist es weitaus umständlicher ein Gerät auf die oben beschriebene Weise zu infizieren. Das Thunderstrike Risiko ist also auf Grund der fehlenden Thunderbolt Schnittstelle nicht gegeben. Die Malware ist aber dennoch auf dem EFI-Firmware ROM des Gerätes lauffähig.
Man müsste jedoch direkt an den Chip um es aufzuspielen. Es ist also kein klassischer Thunderstrike mehr, obwohl die Auswirkungen die selben wären: das EFI-BIOS lässt sich nicht mehr oder nur vermeindlich updaten, Passwörter können ausgespäht und an Dritte weitergegeben werden, etc.
Das Entfernen der Schadsoftware durch Wiederherstellen der original EFI-Firmware,
kann hier auch nur durch direktes Neu-Programmieren des EFI-Boot Chips oder durch dessen Austausch erfolgen.

Wie hoch ist das Thunderstrike Risiko?
So hoch wie bei jeder offenen Sicherheitslücke. Dadurch, dass diese so bekannt ist, besteht ein hohes Risiko beim Anschließen unbekannter Thunderbolt Geräte oder beim Verleih der eigenen Thunderbolt Geräte. Nur die wenigsten Nutzer sind durch einen gezielten Angriff bedroht und der bzw. die Angreifer benötigen einen physikalischen Zugriff auf das Gerät oder ein Gerät das mit dem des Nutzers potentiell verbunden wird.

 

Warum erfolgt der Angriff eigentlich über Thunderbolt und nicht über USB oder FireWire?
Thunderbolt hat einen direkten Zugriff auf den PCIe Bus, was zur hohen Geschwindigkeit beiträgt.
FireWire und USB haben jeweils einen Controller zwischengeschaltet, über die ein
Thunderstrike nicht möglich ist. Der PCIe Bus ist bereits ab Start sofort aktiv.

Quellenangaben:
Trammel Hudson     [https://trmm.net/About]
CCC-Kongres 31C3 [https://trmm.net/Thunderstrike_31c3]
RSA-Key                [https://de.wikipedia.org/wiki/RSA-Kryptosystem]

Text und Bilder: © ABCDATA – Niehler Str. 44a – 50733 Köln

Share this