Neuer Hack ermöglicht das Überschreiben der Firmware und das Erstellen eines permanenten Hintertürs in fast allen Mac OS X betriebenen PCs

Neuer Apple Mac OSX Zero-Day-Bug ermöglicht Hackern die Installation von RootKit-Malware durch das Neuflashen des BIOS

Ein OS X-Sicherheitsforscher hat eine neue Möglichkeit entdeckt, die Firmware zu überschreiben und die Kontrolle über fast alle Macs zu übernehmen, die älter als ein Jahr sind.

Der Angriff, den Vilaca auf seinem Blog veröffentlicht hat, betrifft Macs, die vor Mitte 2014 ausgeliefert wurden und in den Schlafmodus versetzt werden können.

Vilaca hat ein Skript geschrieben, um das BIOS eines Macs neu zu flashen, indem er Funktionen nutzt, die im Userland enthalten sind. Userland ist ein Boot-Teil von Mac OS, in dem alle Anwendungen und Treiber ausgeführt werden. Vilacas Skript funktioniert, indem es Schwachstellen ausnutzt, wie sie regelmäßig in Safari und anderen Webbrowsern gefunden werden.

Ars Technica berichtet, dass Vilacas Exploit ernster ist als der Thunderstrike Proof-of-Concept-Exploit, der im Dezember 2014 entdeckt wurde. Wie die Thunderstrike-Schwachstelle gibt Vilacas Exploit Hackern das gleiche Maß an Kontrolle über einen Mac, aber im Gegensatz zu Thunderstrike, das physisch auf einem Mac installiert werden muss, kann dieser Exploit aus der Ferne ausgeführt werden und Hacker können die Kontrolle über den angegriffenen Mac aus der Ferne erlangen.

„Das BIOS sollte nicht aus dem Userland aktualisiert werden, und es gibt bestimmte Schutzmaßnahmen, die versuchen, dies zu verhindern“, schrieb Vilaca in einer E-Mail an Ars. „Wenn das BIOS aus dem Userland beschreibbar ist, kann ein Rootkit im BIOS installiert werden. BIOS-Rootkits sind mächtiger als normale Rootkits, da sie auf einer niedrigeren Ebene arbeiten und jede Maschinenneuinstallation sowie BIOS-Updates überstehen können.“

Vilacas Exploit zielt auf den Mac BIOS-Schutz namens FLOCKDN ab. Normalerweise erlaubt FLOCKDN Anwendungen im Userland nur schreibgeschützten Zugriff auf den BIOS-Bereich, jedoch fand Vilaca heraus, dass der FLOCKDN-Schutz nach dem Aufwachen des Macs aus dem Schlafmodus irgendwie deaktiviert ist.

Dieser Fehler oder diese Lücke im Prozess wird von dem Exploit genutzt, um das BIOS durch einen Prozess, der typischerweise als Neuflashen bekannt ist, neu zu schreiben. Sobald das BIOS neu geflasht ist, können potenzielle Hacker die erweiterbare Firmware-Schnittstelle (EFI) des Macs modifizieren, die Firmware, die für den Start des Systemverwaltungsmodus eines Macs verantwortlich ist und andere Funktionen auf niedriger Ebene aktiviert, bevor das Betriebssystem geladen wird.

„Der Flash ist entsperrt und jetzt können Sie flashrom verwenden, um seinen Inhalt aus dem Userland zu aktualisieren, einschließlich EFI-Binärdateien. Das bedeutet ein Thunderstrike-ähnliches Rootkit, das ausschließlich aus dem Userland stammt“, sagt Vilaca in dem Blogbeitrag.

Vilaca sagt, dass ein Drive-by-Exploit, der auf einer gehackten oder bösartigen Website platziert ist, verwendet werden könnte, um den BIOS-Angriff auszulösen.

„Der Fehler kann mit Safari oder einem anderen Remote-Vektor verwendet werden, um ein EFI-Rootkit ohne physischen Zugriff zu installieren“, schrieb Vilaca. „Die einzige Voraussetzung ist, dass ein Suspend in der aktuellen Sitzung stattgefunden hat. Ich habe nicht geforscht, aber Sie könnten wahrscheinlich den Suspend erzwingen und dies auslösen, alles aus der Ferne. Das ist ziemlich episch ;-).“

Vilaca sagt, dass ein potenzieller Hacker einfach einen Code hinzufügen könnte, um einen gezielten Mac zu senden und den Exploit beim nächsten Aufwachen des Macs aus dem Schlaf auszuführen.

„Ein Exploit könnte entweder überprüfen, ob der Computer zuvor in den Schlafmodus gegangen ist und ausnutzbar ist, er könnte warten, bis der Computer in den Schlafmodus geht, oder er kann den Schlaf selbst erzwingen und auf die Benutzerintervention warten, um die Sitzung fortzusetzen“, sagte Vilaca zu Ars. „Ich bin mir nicht sicher, ob die meisten Benutzer etwas Verdächtiges vermuten würden, wenn ihr Computer einfach in den Schlafmodus geht. Das ist schließlich die Standardeinstellung auf OS X.“

Vilaca hat bestätigt, dass sein Angriff gegen ein MacBook Pro Retina, ein MacBook Pro 8.2 und ein MacBook Air funktioniert, die alle die neueste verfügbare EFI-Firmware von Apple verwendeten. Macs, die nach Mitte 2014 veröffentlicht wurden, sind gegen diese Art von Angriff immun. Vilaca ist sich nicht sicher, warum, sagt aber, dass Apple möglicherweise die Schwachstelle stillschweigend gepatcht hat oder sie möglicherweise versehentlich durch ein anderes Update behoben wurde.

Apple hat sich bisher nicht zu der Schwachstelle geäußert. Der einzige Weg, um diese Schwachstelle zu mildern, besteht darin, die Schlaf-Einstellungen eines Macs zu entfernen und ihn die ganze Zeit wach zu halten.