Das müssen Sie über das Mac-Bootkit Thunderstrike wissen

Ein Forscher hat ein besonders fieses Bootkit entwickelt, das die komplette Kontrolle über Mac-OS-X-Geräte übernehmen kann. Hier die Fakten dazu.

Auf der 31. Chaos Computer Club Conference, die vor einigen Wochen in Hamburg stattfand, tauchte das erste, öffentlich bekannte Firmware-Bootkit für Mac OS X auf.

Der Sicherheitsforscher Trammel Hudson entwickelte den Schädling und nannte ihn Thunderstrike. Er nutzt eine tief im Kern des OS-X-Betriebssystems liegende Sicherheitslücke aus. Die Lücke liegt sogar unter dem Betriebssystem. Hudson hat Apple bereits darüber informiert und das Unternehmen hat das Problem bereits in allen Geräten außer dem Macbook behoben.

Zweifellos ist Thunderstrike, wie alle Boot- und Rootkits, eine fiese Bedrohung, die die Kontrolle über alles, das Sie auf Ihrem Computer machen, übernehmen kann. Sozusagen eine Art Ebola der Computerwelt: Wird der Computer infiziert, hat das verheerende Konsequenzen, doch die Wahrscheinlichkeit, sich zu infizieren ist relativ gering.

Bootkits sind eine Art Rootkit, die sich im Boot-Prozess unter dem Betriebssystem des Computers einnistet und die komplette Kontrolle über den infizierten Computer übernimmt. Sie beeinflussen den Master Boot Record und starten sich selbst noch bevor das Betriebssystem geladen wird. Und auch wenn Sie das Betriebssystem löschen, bleibt das Bootkit auf dem Computer erhalten. Deshalb sind Bootkits so schwer zu entdecken und halten allen Versuchen stand, gelöscht zu werden, wobei moderne Antivirus-Lösungen sie entfernen können.

Thunderstrike ist ein Bootkit für Mac-OS-X-Geräte, das über direkten Hardware-Zugriff oder eine Thunderbolt-Verbindung installiert werden kann. Die Infizierung über direkten Hardware-Zugriff ist eher unwahrscheinlich. Dann dafür müsste entweder der Hersteller das Bootkit installieren oder ein Angreifer müsste Ihr Macbook aufschrauben und den Schädling selbst in die Hardware installieren.

Die zweite Möglichkeit über Thunderbolt-Verbindungen ist dagegen eher umsetzbar. Wir haben sogar einen Begriff für solche Angriffe: „Evil Maid“-Attacken (deutsch: böses Zimmermädchen). Oder es sind staatlich finanzierte Angriffe, bei denen Laptops zum Beispiel auf Flughäfen und bei Grenzkontrollen konfisziert und untersucht werden. Die gleiche Methode kann immer dann angewendet werden, wenn Sie nicht an Ihrem Computer sitzen.

Und genau wie bei Ebola, das nur über direkten Kontakt mit Körperflüssigkeiten übertragen werden kann, ist auch Ihr Computer nur durch Thunderstrike infizierbar, wenn ihn jemand auseinandernimmt oder eine Thunderbolt-Verbindung damit aufbaut, um die schädliche Firmware von einem anderen Gerät aus zu installieren.

„Es kann nicht von anderen Programmen entfernt werden. Eine Neuinstallation von OS X kann es nicht entfernen. Und auch ein Ersetzen der SSC entfernt es nicht, da nichts auf der Festplatte gespeichert ist.“

Andere Schadprogramme sind weniger extrem, werden dafür aber viel weiter verbreitet. Um den Gesundheitsvergleich weiterzuspinnen: Mit einer Erkältung kann man sich jederzeit anstecken und sie stellt für die Bevölkerung ein viel größeres Risiko dar als Ebola, obwohl eine Erkältung normalerweise nicht tödlich verläuft. Genau so ist ein Schadprogramm, das Prozessorleistung stiehlt und den Computer in ein Botnetz einfügt nicht so besorgniserregend wie Thunderstrike, aber da es Ihren Computer über das Internet, schädliche E-Mails, Drive-by-Downloads und viele andere Infizierungswege befallen kann, ist es für die Menschen ein viel größeres Ärgernis.

„Da Thunderstrike das erste OS-X-Firmware-Bootkit ist, sucht momentan kein Programm danach“, so Hudson zu seiner Schöpfung. „Es kontrolliert das System vom ersten Befehl an, so dass es Tastatureingaben, inklusive Tastenkombinationen zur Festplattenverschlüsselung, mitschneiden, Backdoors im OS-X-Kernel platzieren und Firmware-Passwörter umgehen kann. Es kann nicht von anderen Programmen entfernt werden, da es die Signatur-Keys und Update-Routinen kontrolliert. Eine Neuinstallation von OS X kann es nicht entfernen. Und auch ein Ersetzen der SSC entfernt es nicht, da nichts auf der Festplatte gespeichert ist.“

Am besten schützen Sie sich vor Thunderstrike indem Sie sicherstellen, dass niemand auf Ihr Macbook zugreifen oder es stehlen kann.

Dann können Sie sich beruhigt zurücklehnen und AC/DC anhören:

Tipps