Nach Angabe des Sicherheitsforschers Pedro Vilaca lässt sich die Firmware bestimmter Macs leicht modifizieren – beispielsweise sei das Einschleusen eines EFI-Rootkits über diese Lücke möglich. Vilaca erklärt, dass Apples Implementierung des Ruhezustandes (ACPI-Modus S3) "derart kaputt" sei, dass sich nach dem Aufwecken des Macs die Firmware verändern lasse – das Ergebnis sei ähnlich wie bei der, einen Thunderbolt-Anschluss erfordernden, Angriffsmethode "Thunderstrike".

Die Flash-Speicherbereiche, in denen die für den Boot-Prozess verantwortlichen EFI-Funktionen residieren, sind eigentlich gegen Beschreiben geschützt. Diese Schreibsperre verschwindet allerdings anscheinend, wenn das System einmal in den Ruhezustand gebracht und dann wieder aufgeweckt werde. Somit lasse sich die Firmware mit dieser Methode im Gegensatz zum Thunderstrike-Trick ganz ohne physischen Zugriff verändern, betont Vilaca. Der Mac müsse nur einmal durch einen eingeschleusten Schädling in den Ruhezustand gebracht werden und könne nach dem Aufwecken dann durch diesen manipuliert werden. Die Installation eines EFI-Rootkits sei damit prinzipiell auch aus der Ferne möglich – dies habe er allerdings noch nicht überprüft, so der Sicherheitsforscher.

Macs ab Modellreihe Mitte/Ende 2014 sind laut Vilaca nicht mehr anfällig: Apple sei sich des Problems entweder längst bewusst gewesen oder habe die Firmware-Schwachstelle durch Zufall behoben. Die EFI-Schwachstelle habe er jedenfalls auf einem 2011er MacBook Pro sowie einem MacBook Air und einem nicht näher spezifizierten Retina-MacBook-Pro erfolgreich getestet – vermutlich Modelle aus dem Jahr 2012 oder 2013.

Der Sicherheitsexperte merkt an, dass man, um sich zu schützen, den Mac niemals schlafen schicken und stets herunterfahren sollte. Ein Firmware-Update durch Apple sei aber der einzige vollumfängliche Fix.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE