ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Betriebssystem

Black Hat: Demonstration eines EFI-Rootkits für Macs

Maximilian Schlafer
53 Kommentare

Auf der BlackHat-Sicherheitskonferenz, die derzeit in den USA abgehalten wird, gelang es einem australischen Forscher das EFI eines MacBook Air mit einem Rootkit zu infizieren. Dies gelang ihm über die Verwendung eines modifizierten Thunderbolt-Ethernet-Adapters; eine Methode, die bislang noch unbekannt war.

Dem Forscher – er ist unter dem Synonym „Snare“ bekannt – war es gelungen, den Adapter mit einem Gerätetreiber zu versehen, der sogleich nach einem Neustart des „angesteckten“ Rechners geladen wird. Während des dann folgenden Bootvorganges wird der Schadcode selbst ebenfalls geladen und ausgeführt. Infolgedessen wird der Kernel durch den Schadcode modifiziert.

Über besagten Treiber soll es auch möglich sein, die Eingabe eines Passwortes für die Entschlüsselung einer Festplatte via FileVault aufzuzeichnen. In einem Gespräch mit Heise gab der Programmierer darüber hinaus an, dass der Treiber ohne größere Probleme auch um anderweitige Funktionen erweiterbar sei. Als Beispiel wurde das Öffnen einer Reverse Shell nach erfolgreicher Infektion des Kernels genannt.

Die Angriffsmethodik selbst ist als sogenannte „Evil-Maid“-Attacke zu klassifizieren, da sie einen physischen Zugang zum jeweils als Ziel auserkorenen Rechner benötigt.

Die Platzierung des Rootkits im EFI ist insofern für einen Angriff auf einen Rechner sinnvoll, da der Schadcode auf diese Weise durch Neustarts nicht entfernt werden kann und auch auf der Festplatte selber keine eigenen Veränderungen von Seiten der Malware vorgenommen werden müssen.

Apple selbst soll schon vor Monaten über diese Schwachstelle informiert worden sein und die Funktionsfähigkeit eines solchen Angriffes bestätigt haben. Jedoch soll es aufgrund „technischer Möglichkeiten“ des Thunderbolt-Anschlusses nicht leicht sein, hier zeitnah Abhilfe zu schaffen.

Von „Snare“ selbst wird empfohlen, dass Nutzer zur Erschwerung einer solchen Attacke den Passwort-Schutz während der „Boot Device Selection“-Phase aktivieren. Damit kann zumindest das Risiko von Attacken, die nicht über PCI-Geräte erfolgen, verringert werden.

Eine umfassende Beschreibung des Vorgehens ist diesem PDF-Dokument (Englisch) zu entnehmen.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz