„Thunderstrike 2“: Firmware-Wurm für Macs

Zwei Sicherheitsexperten ist es erstmals gelungen, einen Wurm zu entwickeln, der sich in der Firmware von MacBooks einnistet. Damit ist der Proof-of-Concept-Schädling kaum mehr auffind- oder entfernbar, berichtet "Wired". Die Forscher haben festgestellt, dass bei den Apple-Computern einige der gleichen Firmware-Sicherheitslücken bestehen, die auch von PCs bekannt sind. Der vom Konzern selbst über lange Jahre geförderte Mythos, dass Macs grundsätzlich sicherer sind als PCs, muss also erneut einen schweren Schlag hinnehmen. [...]

Es ist eine gängige Annahme, dass bei Apples geschlossenem Hardware-Ökosystem auch die Firmware besser abgeschottet ist. Doch eben das ist nicht der Fall, was der Wurm „Thunderstrike 2“ ausnutzt. Dieser kann sich von MacBook zu MacBook verbreiten und macht sich in der Firmware breit, ohne das Betriebssystem anzugreifen. „Der Angriff ist sehr schwer zu entdecken, sehr schwer zu bekämpfen und es ist wirklich schwierig, sich vor etwas zu schützen, das in der Firmware läuft“, betont Xeno Kovah, Mitgründer des Security-Consulting-Unternehmens LegbaCore und einer der Wurm-Autoren.

Ein Schädling, der sich in der Firmware versteckt, ist effektiv tiefer im Computer verankert als das Betriebssystem selbst. Das ist einer der Gründe, warum gängige Virenscanner ihn nicht entdecken können – sie suchen nur Malware auf Betriebssystem-Ebene. Zudem kann sich der Wurm vor Säuberungsversuchen schützen, indem er neue Aktualisierungen der Firmware verbietet. „Für die meisten Nutzer ist das eine ‚Wirf-den-Computer-weg-Situation'“, so Kovah. Auch die meisten Unternehmen seien gar nicht in der Lage, tief genug in ein Gerät einzudringen und einen befallenen Firmware-Chip elektrisch neu zu programmieren.

Der von Kovah und Trammell Hudson, Sicherheitsingenieur bei Sigma Investments, entwickelte Thunderstrike 2 nutzt Schwachstellen, die LegbaCore 2014 zunächst bei PCs diverser Hersteller entdeckt hatte. „Es hat sich herausgestellt, das fast alle Attacken, die wir bei PCs gefunden haben, auch bei Macs anwendbar sind“, so Kovah. Denn eigentlich unterscheidet sich die Apple-Firmware kaum von jener anderer Hersteller. Letztlich seien alle Geräte x86-Computer.

Der Proof-of-Concept-Wurm, den die beiden Forscher am Donnerstag im Rahmen der Black Hat USA 2015 näher vorstellen werden, ist eine moderne Malware, die sich auf verschiedene Arten verbreiten kann. Um erste Opfer zu finden, könnte ein Angreifer geeignete E-Mails oder verseuchte Webseiten nutzen. Hat Thunderstrike 2 erst einmal ein MacBook befallen, kann der Wurm aber auch die sogenannte Option ROM bestimmter Peripheriegeräte infizieren – und über das externe Zubehör in weiterer Folge andere Computer.

Um zufällige Opfer zu befallen, wäre es beispielsweise auch möglich, infizierte Ethernet-Adapter über Marktplätze wie eBay zu verkaufen. „Die Leute wissen nicht, dass diese kleinen, billigen Geräte ihre Firmware infizieren können“, warnt Kovah. In einer Videodemonstration haben die Forscher daher für Wired den Beweis angetreten, dass das wirklich klappt. Sie warnen zudem, dass ein besserer Schutz vor derartigen Angriffen nur auf Hardware-Ebene möglich wäre – die meisten Anbieter aber wie Apple ziemlich langsam reagieren. Der Konzern habe trotzt ergangener Mitteilung erst eine von fünf genutzten Lücken vollständig gepatcht. (pte)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*