Thunderstrike - Via Thunderbolt in die Firmware des Macs, Teil 3
Noch einmal geht es um den von Trammell Hudson entwickelten Thunderstrike-Angriff, den er auf dem 31. Chaos Communication Congress (31C3) vorgestellt hat. Er wird detailliert in einer kommentierten Version des 31C3-Vortrags (den es auch als Video auf YouTube gibt) vorgestellt. Außerdem gibt es eine FAQ.
Im ersten Teil haben Sie erfahren, dass und wie die EFI-Firmware des Mac manipuliert werden kann, wenn der Angreifer sich direkten Zugriff auf den ROM-Chip verschafft. Also das Gerät öffnet und eigene Hardware mit dem Chip verbindet. Im zweiten Teil stellte sich heraus, dass der Angriff auch ohne Öffnen des Geräts möglich ist, es muss nur ein manipuliertes Thunderbolt-Gerät angeschlossen werden. Darüber kann dann der für die Prüfung der Signatur des Firmware-Updates verwendete öffentliche Schlüssel von Apple gegen einen des Angreifers ausgetauscht werden. Wie so ein Angriff ablaufen kann und welche Folgen er hat erfahren Sie nun.
Teil 3 - Die Folgen des Angriffs
Der Angriff erfordert einige Minuten ungestörten Zugriff auf das Gerät, es handelt sich also um einen klassischen "Evil Maid"-Angriff. Geheimdienste könnten Hardware während des Transports abfangen und entweder direkt auf die Hardware zu greifen oder den Thunderstrike-Angriff durchführen. Und auch der nette Grenzbeamte, der das Macbook auf dem Flughafen im Nebenraum prüft um die Kontrolle anderer Passagiere nicht aufzuhalten, könnte einen Thunderstrike-Angriff durchführen.
Ist der öffentliche Schlüssel erst mal ausgetauscht, kann nur noch vom Angreifer signierte Firmware installiert werden. Und das ist sehr gefährlich. Noch gefährlicher wäre es, wenn der Angriff ohne direkten Zugriff auf das Gerät auskommen würde.
Noch schlimmer geht immer (und öfter)
Der Angriff ist nicht unbedingt auf einen direkten Zugriff auf das Gerät angewiesen, es reicht, wenn das präparierte Gerät mit dem Thunderbolt-Port verbunden wird. Das kann auch passieren, indem es dem Opfer untergeschoben wird, der es dann selbst anschließt. Das Option-ROM kann den Firmware-Update-Prozess auch selbst anstoßen und den Mac kompromittieren.
Und es geht noch schlimmer: Die installierte Schadsoftware könnte die Option-ROMs angeschlossener Thunderbolt-Geräte infizieren. Es wäre also möglich, einen Schädling zu schreiben, der sich über die Option-ROMs von Thunderbolt verbreitet. So, wie es mit BadUSB ja schon für USB-Geräte beschrieben wurde.
Wie schlimm ist Thunderstrike?
Thunderstrike ist ein Proof-of-Concept, der keine Schadfunktionen enthält und sich auch nicht selbst weiterverbreitet. Für einen Angriff muss der Angreifer das Gerät in Händen halten, um ein präpariertes Thunderbolt-Gerät anzuschließen. Oder das Gerät öffnen und direkt auf das Boot-ROM zugreifen.
Der Angriff kann aber weder von einem Firmware-Passwort noch der Sperre des Rechners verhindert werden. Der Angreifer muss lediglich einen Reboot auslösen, was über den Power-Knopf problemlos möglich ist. Während des Reboots wird das Option-ROM geladen, bevor das Passwort der Firmware, der Festplattenverschlüsselung oder des Benutzers abgefragt werden.
Wie schlimm kann ein Thunderstrike-Angriff werden?
Thunderstrike ist ein ziemlich gefährlicher Angriff. Erst mal ist es das erste Firmware-Bootkit für OS X, so dass bisher keine Schutzprogramme danach suchen. Aber selbst wenn ein Schutzprogramm danach sucht, ist nicht gesagt, dass es auch fündig wird. Denn Thunderstrike kann sich zum Beispiel im System Management Mode, durch Virtualisierung und möglicherweise auch in der Management Engine (was noch nicht genauer untersucht wurde) verbergen.
Und selbst wenn der Schadcode erkannt wird, ist damit noch nicht gesagt, dass das Opfer ihn auch wieder los wird. Da der Angreifer sowohl die Schlüssel für die Firmware-Updates als auch die Update-Funktionen selbst kontrolliert, kann der Schadcode von Software nicht entfernt werden. Weder eine Neuinstallation von OS X noch der Austausch der Festplatte entfernen den Schadcode, da er ja auf der Platte gar nicht vorhanden ist.
Auch der mögliche Funktionsumfang ist gewaltig. Da der Schadcode das System vom ersten ausgeführten Befehl an kontrolliert, kann er zum Beispiel sämtliche Tastendrücke einschließlich denen für das Passwort der Festplattenverschlüsselung protokollieren, das Firmware-Passwort umgehen oder eine Hintertür im OS-X-Kernel installieren. Außerdem kann der Schädling sich unter Umständen über Thunderbolt-Geräte verbreiten.
Schutz vor Angriffen
Apples Lösung besteht darin, keine Option-ROMs während des Firmware-Updates zu laden. Neue Mac Mini und iMac Retina enthalten die entsprechende Änderung bereits, für ältere Macs werden sie laut Trammell Hudson "demnächst" als Firmware-Update veröffentlicht.
Am 23. Januar wurde bekannt, dass ein Patch Bestandteil des zu diesem Zeitpunkt noch nicht veröffentlichten Mac OS X 10.10.2 sein soll. Demnach ist in Mac OS X 10.10.2 der Austausch des Boot-ROMs nicht mehr möglich, und auch die Installation einer älteren Version als Downgrade-Angriff wird verhindert.
Bei einem Downgrade-Angriff wird vor dem eigentlichen Angriff eine alte, betroffene Firmware-Version als Firmware-"Update" installiert, die die Schwachstelle enthält, und darüber dann der Thunderstrike-Angriff durchgeführt.
Trammell Hudson konnte die neue Version noch nicht überprüfen und findet es gar nicht gut, dass Option ROMs weiterhin unterstützt werden.
In Apples Ankündigung der Sicherheitsrelevanten Änderungen der neuen Version "About the security content of OS X Yosemite v10.10.2 and Security Update 2015-001" findet sich dann folgender Passus:
"CPU Software
Available for: OS X Yosemite v10.10 and v10.10.1, for: MacBook Pro Retina, MacBook Air (Mid 2013 and later), iMac (Late 2013 and later), Mac Pro (Late 2013)
Impact: A malicious Thunderbolt device may be able to affect firmware flashing
Description: Thunderbolt devices could modify the host firmware if connected during an EFI update. This issue was addressed by not loading option ROMs during updates.
CVE-ID
CVE-2014-4498 : Trammell Hudson of Two Sigma Investments"
Während des Firmware-Updates werden also keine Option ROMs mehr geladen. Damit wird der aktuelle PoC von Thunderstrike daran gehindert, das ROM zu ändern. Es steht aber nichts von einem Schutz vor Downgrade-Angriffen in der Ankündigung. Außerdem betrifft der Schutz nur Rechner, auf denen Mac OS X Yosemite installiert (und auf dem aktuellen Stand) ist. Alle Rechner mit älteren Systemen sind weiterhin angreifbar, bis Apple auch für diese Geräte ein Firmware-Update veröffentlicht.
Der Angriff von Loukas K funktioniert trotz des aktuellen Patches weiterhin.
Und falls es keinen Schutz vor einem Downgrade-Angriff gibt bleiben die ein generelles Problem. Denn so wie in diesem Fall eine Firmware installiert würde, die das Laden der Option-ROMs während des Firmware-Updates noch erlaubt, könnte auch jeder andere in einer aktuellen Firmware-Version enthaltene Schutz umgangen werden. Sollte Apple also zum Beispiel das Laden der Option-ROMs generell ausschalten und damit auch den Angriff von Loukas K verhindern, könnte ein Angreifer erst eine Firmware installieren, die Option-ROMs lädt, und danach darüber den Rootkit installieren.
Weitere Schutzmöglichkeiten
Das Installieren älterer Firmware-Versionen als der aktuell installierten zu verhindern ist der einfachste Lösungsansatz zur Verhinderung eines Downgrade-Angriffs. Sein großer Vorteil ist, dass er mit der aktuellen Hardware funktioniert. Ein anderer Weg zu Absicherung der Firmware wäre der Einsatz entsprechender Hardware, um die Integrität des Systems sicher zu stellen, insbesondere also eines TPM und Trusted Boot Systems.
Auch wäre es möglich, das Laden unsignierter Treiber aus den Option-ROMs zu verhindern, sofern das Laden von Option-ROMs notwendig ist. Meist ist es das nicht, so dass der einfachste Schutz darin besteht, die Option-ROMs zu ignorieren. Was aber immer noch nicht alle Angriffe über Thunderbolt verhindert, da DMA-Angriffe weiterhin möglich sind.
Trackbacks