EFI-Rootkit für Macs demonstriert

Published by

Der australische Sicherheitsforscher Loukas K. (auch bekannt als Snare) hat auf der Hackerkonferenz Black Hat ein Rootkit demonstriert (PDF), das sich in der EFI-Firmware eines Macbook Air verankert und die Festplattenverschlüsselung FileVault aushebeln kann.
Das Konzept eines EFI-Rootkit ist zwar nicht neu. Der Hacker hat den Angriff aber erstmals live demonstriert und einen bislang unbekannten Weg verwendet: die Infektion über einen manipulierten Thunderbolt-Ethernetadapter.
Aus Sicht des Angreifers hat ein im EFI-Bios platziertes Rootkit große Vorteile: Der Schadcode übersteht Neustarts, kann die Festplattenverschlüsslung aushebeln, modifiziert nichts auf der Festplatte und kann den Kernel des Betriebssystems während dessen Start modifizieren. Grundlage für die Infektion ist physischer Zugang zum Rechner des Opfers ( Evil-Maid-Attacke).
...
Laut Snare wurde Apple Monate vor dem Vortrag in Kenntnis gesetzt und hat das Funktionieren der Attacke auch bestätigt. Eine Lösung für das Problem lässt sich aufgrund der technischen Möglichkeiten von Thunderbolt jedoch nicht so leicht umsetzen.


bleibt nur zu hoffen, dass das Rootkit nicht den Weg zu Crackern findet, die Lösung des Problem wird wohl etwas dauern 🙁