03 Jun

Apple MAC: EFI-Lücke erlaubt Firmware-Modifikation

Eine EFI-Schwachstelle ermöglicht es einem Angreifer, die Firmware älterer Macs zu manipulieren und physischer Zugriff ist dafür angeblich nicht notwendig. (QUELLE)

Die Firmware bestimmter Macs lässt sich nach Angabe des Sicherheitsforschers Pedro Vilaca sehr einfach modifizieren – über diese Lücke sei beispielsweise das Einschleusen eines EFI-Rootkits möglich. Apples Implementierung des Ruhezustandes (ACPI-Modus S3) ist angeblich so unsicher, dass sich die Firmware nach dem „WakeUP“ des Macs verändern lasse, erklärt Vilaca.

Eigentlich sind die Flash-Speicherbereiche, in denen die für den Boot-Prozess verantwortlichen EFI-Funktionen residieren, und somit gegen Beschreiben geschützt. Allerdings verschwindet diese Schreibsperre, wenn das System in den Ruhezustand gebracht und dann wieder aufgeweckt wird. Im Unterschied zum Thunderstrike-Trick lässt sich die Firmware mit dieser Methode somit ganz ohne physischen Zugriff verändern. Ein einmal eingeschleuster Schädling müsse den Mac nur einmal in den Ruhezustand bringen und könne die Manipulation dann nach dem Aufwecken vornehmen. Damit sei die Installation eines EFI-Rootkits prinzipiell auch aus der Ferne möglich – er habe dies allerdings noch nicht überprüft, so der Sicherheitsforscher.

Betroffene Modelle
Laut Vilaca sind Macs ab Modellreihe Mitte/Ende 2014 nicht mehr anfällig: Apple habe die Firmware-Schwachstelle entweder durch Zufall behoben oder sei sich des Problems längst bewusst.