image

Onderzoeker demonstreert firmware-aanval op Macbook

maandag 22 december 2014, 13:46 door Redactie, 6 reacties

Eind december zal een onderzoeker laten zien hoe het mogelijk is om op een Apple Macbook een bootkit te installeren die het opnieuw installeren van het besturingssysteem en het vervangen van de harde schijf kan overleven. De bootkit kan via iemand die fysiek toegang tot de laptop worden geïnstalleerd. Hiervoor wordt de extern toegankelijke Thunderbolt-poort gebruikt. Zodra de bootkit actief is kan die zich viraal verspreiden door andere Thunderbolt-apparaten te infecteren.

Volgens onderzoeker Trammell Hudson is het mogelijk om de controle te omzeilen die Apple gebruikt voor EFI ( Extensible Firmware Interface) firmware-updates. Hierdoor kan een aanvaller met fysieke toegang kwaadaardige code aan de firmware op de ROM van het moederbord toevoegen en zo een nieuwe klasse van firmware-bootkits voor Macbooks creëren. De firmware wordt tijdens het opstarten niet cryptografisch gecontroleerd, waardoor de kwaadaardige code vanaf het begin volledige controle over het systeem heeft.

Hudson ontwikkelde een "proof of concept" bootkit die Apple's publieke RSA-sleutel in de firmware vervangt en pogingen voorkomt om de kwaadaardige code te vervangen. Aangezien de boot-firmware onafhankelijk van het besturingssysteem werkt, blijft de bootkit na een herinstallatie van het besturingssysteem gewoon bestaan. Ook het vervangen van de harde schijf heeft geen effect. Alleen via een programmeerapparaat kan de originele firmware worden hersteld.

De onderzoeker merkt op dat de firmware van andere Thunderbolt-apparaten kan worden aangepast door de bootkit en zich zo verder kan verspreiden. "Hoewel het twee jaar oude Thunderbolt firmware-lek dat deze aanval gebruikt met een firmware-patch is te verhelpen, is het grotere probleem van Apple's EFI-firmware security en secure booting zonder vertrouwde hardware lastiger op te lossen." Hudson zal tijdens zijn presentatie op de CCC Conferentie meer details geven.

Reacties (6)
22-12-2014, 16:24 door Anoniem
Lastig voor journalisten, politiek actieven, advocaten, zakenmensen en dergelijke die regelmatig reizen moeten en onderweg hun laptop zo nu en dan ter inspectie even mogen afgeven.

Gelukkig kennen Apple apparaten sinds OS X de mogelijkheid een firmware password in te stellen dat vanaf ± 2011 machines alleen nog door Apple zelf te resetten is zonder het juiste wachtwoord te kennen.

Sowieso zijn nieuwe Mac's(books) tegenwoordig nogal lastig uitelkaar te halen, alles zit vastgelijmd en vastgesoldeerd.
Een plus in dit specifieke attack-geval, maar over het algemeen een hele zware, zware, zware min voor gewone gebruikers die niet na 3 jaar voor een defect met torenhoge kosten te maken willen krijgen in geval van een uitbreiding of een defect.
Echt een hele, hele, hele zware, zware min wat betreft aanschaf van Apple hardware de laatste tijd.

Bij oudere machines kan een firmware password in voorkomende gevallen nog wel met succes hardwarematig ge-reset worden.
De eigenaar kan, als dat gebeurd zou zijn, in dat geval dat eenvoudig controleren door te kijken of het firmware password op het systeem nog aanwezig is en ook hetzelfde password betreft.

Verder is het (met belangstelling) wachten op de methode waar betreffende onderzoeker mee komt.

Firmware password dus.

Oppassen geblazen (!) met het bewaren van je firmware password en bij aanschaf van een nieuwe Mac direct goed nadenken over bijvoorbeeld geheugen en storage capaciteit.
Uitbreiding van storage of reparaties bij een verloop van de standaard garantietermijn gaat je achteraf het nodige verplichte vele geld kosten.
Budget doe het zelven is er niet meer bij waardoor de lange levensduur van Mac's na verloop van de garantietermijn tegenwoordig niet zo'n voordeel is meer vanwege de hoge financiële risico's.
.
22-12-2014, 20:39 door [Account Verwijderd] - Bijgewerkt: 22-12-2014, 20:40
[Verwijderd]
23-12-2014, 00:52 door Anoniem
Programmeerapparaat = eprom-programmer :)
On-topic: Ben benieuwd welke generaties allemaal kwetsbaar zijn, kan me zo voorstellen dat die EFI code al jaren in gebruik is ...
23-12-2014, 00:58 door Anoniem
Door Shanghai: Ehum..ik wil schrijvers vriendelijke verzoeken niet alleen met een verhaal aan te komen zetten, maar ook een link te plaatsen waar er meer informatie te vinden is over een firmware-password. Daar doe je andere gebruikers wel een plezier mee.

https://support.apple.com/en-us/ht1352

Beste Shanghai (Picasa Gerard? ;) , sommige meer algemene informatie is erg eenvoudig te vinden op het internet of op de Apple support pages zelf, zoals je met gegeven informatieve link bij deze hebt bewezen.
:)
23-12-2014, 14:24 door Anoniem
Door Anoniem:
Door Shanghai: Ehum..ik wil schrijvers vriendelijke verzoeken niet alleen met een verhaal aan te komen zetten, maar ook een link te plaatsen waar er meer informatie te vinden is over een firmware-password. Daar doe je andere gebruikers wel een plezier mee.

https://support.apple.com/en-us/ht1352

Beste Shanghai (Picasa Gerard? ;) , sommige meer algemene informatie is erg eenvoudig te vinden op het internet of op de Apple support pages zelf, zoals je met gegeven informatieve link bij deze hebt bewezen.
:)
+1
30-12-2014, 02:02 door Anoniem
Door Anoniem: Lastig voor journalisten, politiek actieven, advocaten, zakenmensen en dergelijke die regelmatig reizen moeten en onderweg hun laptop zo nu en dan ter inspectie even mogen afgeven.

Gelukkig kennen Apple apparaten sinds OS X de mogelijkheid een firmware password in te stellen dat vanaf ± 2011 machines alleen nog door Apple zelf te resetten is zonder het juiste wachtwoord te kennen.

Update : Serious trouble

Het instellen van een firmware password gaat niet helpen tegen deze hack.
Niets eigenlijk, behalve je Mac nooit meer uit het oog verliezen of je Thunderbolt poorten dichtkitten (zou het ook met de voormalige Firewire poorten of zelfs usb poorten kunnen werken?).

Does a firmware password prevent this attack?

The Thunderstrike attack is not prevented by having a firmware password enabled. The PCIe Option ROM on the Thunderbolt device is loaded before the firmware password is checked, allowing it to bypass the password protection. It can also clear or reset the password if desired.

https://trmm.net/EFI

Onder het "In the media" overzicht van dat artikel staat overigens ook een link naar hier, cirkeltje rond.

;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.