«Thunderstrike 2»: Firmware-Wurm bedroht Macs

Damit ist der Proof-of-Concept-Schädling kaum mehr auffind- oder entfernbar, berichtet «Wired». Die Forscher haben festgestellt, dass bei den Apple-Computern einige der gleichen Firmware-Sicherheitslücken bestehen, die auch von PCs bekannt sind. Der vom Konzern selbst über lange Jahre geförderte Mythos, dass Macs grundsätzlich sicherer sind als PCs, muss also einen erneuten schweren Schlag hinnehmen.

Es ist eine gängige Annahme, dass bei Apples geschlossenem Hardware-Ökosystem auch die Firmware besser abgeschottet ist. Doch eben das ist nicht der Fall, was der Wurm «Thunderstrike 2» ausnutzt. Dieser kann sich von MacBook zu MacBook verbreiten und macht sich in der Firmware breit, ohne das Betriebssystem anzugreifen. «Der Angriff ist sehr schwer zu entdecken, sehr schwer zu bekämpfen und es ist wirklich schwierig, sich vor etwas zu schützen, das in der Firmware läuft», betont Xeno Kovah, Mitgründer des Security-Consulting-Unternehmens LegbaCore und einer der Wurm-Autoren.

Unsichtbare Bedrohung

Ein Schädling, der sich in der Firmware versteckt, ist effektiv tiefer im Computer verankert als das Betriebssystem selbst. Das ist einer der Gründe, warum gängige Virenscanner ihn nicht entdecken können - sie suchen nur Malware auf Betriebssystem-Ebene. Zudem kann sich der Wurm vor Säuberungsversuchen schützen, indem er neue Aktualisierungen der Firmware verbietet. «Für die meisten Nutzer ist das eine 'Wirf-den-Computer-weg-Situation'», so Kovah.




Auch die meisten Unternehmen seien gar nicht in der Lage, tief genug in ein Gerät einzudringen und einen befallenen Firmware-Chip elektrisch neu zu programmieren.

Der von Kovah und Trammell Hudson, Sicherheitsingenieur bei Sigma Investments, entwickelte Thunderstrike 2 nutzt Schwachstellen, die LegbaCore 2014 zunächst bei PCs diverser Hersteller entdeckt hatte. «Es hat sich herausgestellt, das fast alle Attacken, die wir bei PCs gefunden haben, auch bei Macs anwendbar sind», so Kovah. Denn eigentlich unterscheidet sich die Apple-Firmware kaum von jener anderer Hersteller. Letztlich seien alle Geräte x86-Computer.

Einfallstor Option ROM

Der Proof-of-Concept-Wurm, den die beiden Forscher am Donnerstag im Rahmen der Black Hat USA 2015 näher vorstellen werden, ist eine moderne Malware, die sich auf verschiedene Arten verbreiten kann. Um erste Opfer zu finden, könnte ein Angreifer geeignete E-Mails oder verseuchte Webseiten nutzen. Hat Thunderstrike 2 erst einmal ein MacBook befallen, kann der Wurm aber auch die sogenannte Option ROM bestimmter Peripheriegeräte infizieren - und über das externe Zubehör in weiterer Folge andere Computer.

Um zufällige Opfer zu befallen, wäre es beispielsweise auch möglich, infizierte Ethernet-Adapter über Marktplätze wie eBay zu verkaufen. «Die Leute wissen nicht, dass diese kleinen, billigen Geräte ihre Firmware infizieren können», warnt Kovah. In einer Videodemonstration haben die Forscher daher für Wired den Beweis angetreten, dass das wirklich klappt. Sie warnen zudem, dass ein besserer Schutz vor derartigen Angriffen nur auf Hardware-Ebene möglich wäre - die meisten Anbieter aber wie Apple ziemlich langsam reagieren. Der Konzern habe trotzt ergangener Mitteilung erst eine von fünf genutzten Lücken vollständig gepatcht.