28.07.2012 16:36
EFI-Rootkit für Macs demonstriert
Der australische Sicherheitsforscher Loukas K. (auch bekannt als Snare) hat auf der Hackerkonferenz Black Hat ein Rootkit demonstriert (PDF), das sich in der EFI-Firmware eines Macbook Air verankert und die Festplattenverschlüsselung FileVault aushebeln kann. Das Konzept eines EFI-Rootkit ist zwar nicht neu. Der Hacker hat den Angriff aber erstmals live demonstriert und einen bislang unbekannten Weg verwendet: die Infektion über einen manipulierten Thunderbolt-Ethernetadapter.
Aus Sicht des Angreifers hat ein im EFI-Bios platziertes Rootkit große Vorteile: Der Schadcode übersteht Neustarts, kann die Festplattenverschlüsslung aushebeln, modifiziert nichts auf der Festplatte und kann den Kernel des Betriebssystems während dessen Start modifizieren. Grundlage für die Infektion ist physischer Zugang zum Rechner des Opfers (Evil-Maid-Attacke).
Je nach Schnittstellenausstattung steckt der Angreifer einen USB-Stick mit dem Schadcode an den Mac oder er wählt den von Snare erstmals demonstrierten Weg über den Thunderbolt-Ethernetadapter, den Apple als Zubehör verkauft. Snare ist es gelungen, einen Gerätetreiber auf dem Adapter abzulegen, der automatisch beim Neustart des Rechners geladen wird. Bei angestecktem Dongle zeigte der Mac beim Booten als Beweis eine andere Startgrafik als den sonst üblichen Apfel. Mit Hilfe des Treibers wird später im Bootvorgang der eigentliche Schadcode nachgeladen und ausgeführt.
Der von Snare programmierte Treiber kann nicht nur den Schadcode laden, der zum Modifizieren des Kernels dient, sondern beispielsweise auch die Eingabe des Passworts zum Entschlüsseln der per FileVault verschlüsselten Festplatte mitschneiden. Laut Snare wurde Apple Monate vor dem Vortrag in Kenntnis gesetzt und hat das Funktionieren der Attacke auch bestätigt. Eine Lösung für das Problem lässt sich aufgrund der technischen Möglichkeiten von Thunderbolt jedoch nicht so leicht umsetzen.
Im Gespräch mit heise Security sagte der Hacker, dass es ein Leichtes sei, den Schadcode um Funktionen zu erweitern, die nach der erfolgreichen Infektion des Kernels beispielsweise eine Reverse Shell öffnen. (Uli Ries)
/
(rei)
Ein Einstieg in die Analyse des Blackberry Z10 und des neuen Blackberry OS. 
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
