Onderzoeker installeert permanent malware via Thunderbolt

Door: Raymon - 9 reacties

Een beveiligingsonderzoeker is erin geslaagd om via de Thunderbolt-poort op een Mac permanente malware te installeren. Deze is niet te verwijderen door OS X opnieuw te installeren, omdat de EFI-chip overschreven wordt met malafide software.

De EFI-chip bevat firmware die voordat OS X opstart al uitgevoerd wordt. Normaal kan dit alleen via een software-update van Apple zelf overschreven worden. Via Thunderbolt is het echter mogelijk om software op de chip te flashen, die bij de eerstvolgende reboot als update uitgevoerd wordt.

De onderzoeker presenteerde tijdens de CCC-conferentie in Duitsland een apparaatje dat in de Thunderbolt-poort wordt gestoken en de malafide software naar de EFI-chip schrijft. Er wordt geen controle op de software uitgevoerd, waardoor de kwaadaardige firmware geïnstalleerd kon worden.
thunderboltt-malfirmware
Het installeren van de kwaadaardige firmware is mogelijk omdat Apple nog ondersteuning biedt voor een oude methode genaamd OptionROM. De methode is succesvol op 6 MacBooks getest, maar werkt in theorie ook op een iMac of Mac Mini met Thunderbolt-aansluiting.

Apple is op de hoogte van de problemen en bezig met een fix. Voor zover bekend is de exploit nog niet ‘in het wild’ misbruikt. Om het te laten werken is fysieke toegang tot een Mac nodig. De volledige presentatie zoals die tijdens de CCC-conferentie is gegeven, is te zien op Flickr.

Reacties

9 reacties
  • Profielfoto
    polansky

    Nou nou, onder de indruk! (NOT!!)

    Ze moeten dus fysiek bij je Mac en ook nog eens op een tijdstip dat hij niet gelocked is. De kans dat dit je overkomt is < 0.0000000000001% ofzo.

    Voor die tijd is er ongetwijfeld alweer een update geweest die dit 'lek' dicht.

  • Profielfoto
    Alexander Henket

    Ik kan nergens terugvinden dat je Mac niet gelocked mag zijn, sterker eerder het omgekeerde.

    De maker van de hack is naar eigen zeggen sinds 2012 met Apple in contact over diverse EFI problemen, dus snel opgelost… nee denk het niet. Daarnaast is blijkbaar het eerste gat wat hij gebruikt redelijk te dichten, maar om een of andere vorm van beveiligd opstarten in te richten vergt mogelijk zelfs andere hardware, dus wederom: snel opgelost…nee denk het niet.

    Hoe snel overkomt je dit? Als je nooit in de buurt komt van schoonmakers, collega’s, grensovergangen, enzo dan zal de kans inderdaad niet groot zijn.

    Maar weet je wat me het meest irriteert aan dit probleem: het komt door een poort die nog nooit iets nuttigs voor mij heeft kunnen betekenen omdat de hardware schreeuwend duur is en de wereld allang voor USB 3 binnenkort 4 heeft gekozen en ook nog eens omdat Apple een of andere compatibiliteitsoptie erin heeft zitten (OptionROM) waarvan ik me afvraag wie hem nodig heeft.

  • Profielfoto
    polansky

    Lekkere collega’s heb je dan ahenket, en wat voor schoonmakers werken er bij jullie die deze kennis in huis hebben? Dat zijn dan wel speciale ‘schoonmakers’ in dienst van de AIVD of een andere duistere overheidsinstelling…

    Thunderbolt heeft mij anders al veel praktische voordelen opgeleverd, van het aansluiten van extra beeldschermen tot harde schijven.

    Ik denk dat je in een andere wereld leeft dan ik, zowel sociaal (want ik heb niet zulke rare collega’s), als in het opzicht van vertrouwen in anderen.

  • Profielfoto
    macpro

    Denk niet dat je ooit je collega’s kent. Er zitten er altijd wel bij die je op een of andere manier kunnen verrassen. In positieve of negatieve zin.

  • Profielfoto
    sunapple

    Ik lijm m’n poorten wel dicht.

  • Profielfoto
    Soulshaker

    Lekkere collega’s heb je dan ahenket, en wat voor schoonmakers werken er bij jullie die deze kennis in huis hebben? Dat zijn dan wel speciale ‘schoonmakers’ in dienst van de AIVD of een andere duistere overheidsinstelling…

    Thunderbolt heeft mij anders al veel praktische voordelen opgeleverd, van het aansluiten van extra beeldschermen tot harde schijven.

    Ik denk dat je in een andere wereld leeft dan ik, zowel sociaal (want ik heb niet zulke rare collega’s), als in het opzicht van vertrouwen in anderen.

    Merk ik daar een bagatellisering op ? Als je op die manier denkt over de veiligheid van een systeem …..

    Macs genoeg waar je ongelocked toegang tot kan krijgen.
    Bvb demo macs in winkels , die na een periode als demo mac verkocht worden. Of macs in openbare plaatsen, zoals in bib’s en scholen….

    Tuurlijk kan je diep de vingers in je oren proppen en roepen dat alles 100% ok is, maar dat is niet de oplossing…

  • Profielfoto
    Arjan110

    Lekkere collega’s heb je dan ahenket, en wat voor schoonmakers werken er bij jullie die deze kennis in huis hebben? Dat zijn dan wel speciale ‘schoonmakers’ in dienst van de AIVD of een andere duistere overheidsinstelling…

    Thunderbolt heeft mij anders al veel praktische voordelen opgeleverd, van het aansluiten van extra beeldschermen tot harde schijven.

    Ik denk dat je in een andere wereld leeft dan ik, zowel sociaal (want ik heb niet zulke rare collega’s), als in het opzicht van vertrouwen in anderen.
    Merk ik daar een bagatellisering op ? Als je op die manier denkt over de veiligheid van een systeem …..

    Macs genoeg waar je ongelocked toegang tot kan krijgen.
    Bvb demo macs in winkels , die na een periode als demo mac verkocht worden. Of macs in openbare plaatsen, zoals in bib’s en scholen….

    Tuurlijk kan je diep de vingers in je oren proppen en roepen dat alles 100% ok is, maar dat is niet de oplossing…

    Helemaal eens.

  • Profielfoto
    Alexander Henket

    @Polansky: dit soort malware installeert geen enkele goedbedoelende / grappigdenkende collega of schoonmaker of zelfs douanier. Het werd dan ook “evil-maid” genoemd. Dit soort wordt vermoedelijk geïnstalleerd bij op de persoon gerichte aanvallen, of wellicht op onwillekeurige personen via demomodellen zoals Soulshaker voorstelde.

    Of jij interessant genoeg bent voor een op de persoon gerichte aanval of tweedehands/demomodellen koopt bepaalt dus waarschijnlijk in hogere mate je vatbaarheid, dan iets anders. Ik viel een beetje over de stelligheid waarmee je dit probleem van je afwierp.

    Inderdaad leven we in een andere wereld als het over de toepasbaarheid van Thunderbolt gaat. Eerlijk is eerlijk, ik sluit er wel wisselend 4 adapters (à €30/stuk…) voor ethernet, VGA, DVI en DualLink (resoluties >1920×1440) op aan. Misschien moet ik dat ook meerekenen. Native Thunderbolt echter zie ik niet gebeuren.

  • Profielfoto
    iep

    Dit zijn standaard aanvallen bij de penetration testers en bij bedrijfsspionage. Hoe komen die een bedrijf binnen? Nou, door zich voor te doen als servicemonteur, schoonmaker, etc. Die worden gewoon binnengelaten en dan kunnen ze hun gang gaan. Wat ze doen zijn dan kastjes plaatsen die niemand opvalt maar die wel allerlei zaken doorsluist en/of hackt naast het plaatsen van andere afluistermiddelen (zoals deze hack toelaat).

    De EFI implementatie van Apple is overigens niet de enige die kwetsbaar is, alles wat maar EFI/UEFI lijkt te gebruiken is kwetsbaar: Beveiligingsonderzoekers vinden nieuwe kwetsbaarheid in uefi.