„Thunderclap“: Macs von Thunderbolt-Sicherheitsproblem betroffen

Thunderbolt verfügt über eine Sicherheitsschwachstelle, über die theoretisch fast alle Apple-Rechner seit 2011 angreifbar sind. Das „Thunderclap“ genannte Problem besteht aus einem Bündel an Verwundbarkeiten, die der Funktionsweise von Thunderbolt zugrundeliegen. Externe, via Thunderbolt verbundene Geräte haben unter Umständen die Möglichkeit, an den Systemspeicher des jeweiligen Rechners zu gelangen, ohne dass das jeweilige Betriebssystem dies einschränkt oder verhindert.


Thunderbolt-Privileg gegenüber USB als Ursache
Sicherheitsforscher Theo Markettos erklärte die Thunderbolt-Schwachstelle während des Network and Distributed Systems Security Symposium in San Diego. Da Computer Thunderbolt-Verbindungen mehr Privilegien gewähren als Produkten, die via USB angeschlossen sind, können Thunderbolt-Geräte einfacher an sensible Daten gelangen, so Markettos. Betroffen davon sind alle Macs mit Thunderbolt-Anschluss. Das MacBook Pro von 2011 war der erste Mobil-Mac, den Apple mit Thunderbolt ausrüstete. Eine Ausnahme bildet das 12-Zoll-MacBook, das zwar USB-C bietet, jedoch keinen integrierten Thunderbolt-Port.

Apple dämmt Gefahr mit macOS Sierra ein
Vorhandene Verteidigungsmöglichkeiten gegen schädliche Thunderbolt-Komponenten, die den „Direct Memory Access“ der Technologie missbrauchen, schätzt Markettos als „sehr schwach“ ein. Die Input-Output Memory Management Unit (IOMMU) sei zwar ein mögliches Mittel gegen Thunderclap, da sie Geräten nur den Speicherzugriff für bestimmte Tasks erlaubt – doch kaum ein Betriebssystem nutze IOMMU.

Anders als Windows 7 und 10 Home unterstütze macOS zwar standardmäßig IOMMU, doch selbst wenn die Technologie aktiviert sei, bestehe nach wie vor die Möglichkeit für einen Angriff. Über eine falsche Netzwerkkarte konnten die Wissenschaftler in einer älteren macOS-Version beliebige Programme als Systemadministrator starten. Besagte Lücke schloss Apple mit macOS Sierra 10.12.4, doch laut Markettos habe das Grundproblem weiter bestand – insbesondere wenn es um Zugriff auf den Netzwerk-Verkehr und zum Teil die Framebuffer-Daten geht.

Kommentare

MikeMuc27.02.19 17:45
Das Murmeltier läßt grüßen. Das war schon beim seligen Firewire so das es (angeblich) Exploits gab mittels derer man einen Rechner derart kompromittieren konnte. TB als "Weiterentwicklung" hat dann halt die gleichen Schachstellen wieder eigebaut die man bei FireWire schon mal "teilweise wieder ausgebaut" hatte... Wenn einmal physischer Zugriff auf einen Rechner besteht ist meist eh Hopfen und Malz verloren.
+5
My2Cent27.02.19 18:32
Ja wenn das so ist ...
Wozu dann überhaupt noch Passwörter bei der lokalen Anmeldung ...
-1
westmeier
westmeier27.02.19 18:38
My2Cent
Ja wenn das so ist ...
Wozu dann überhaupt noch Passwörter bei der lokalen Anmeldung ...

Weil der 08/15 Typ, der deine persönlichen Daten im Büro oder dem Café nicht sehen soll, den Thunderbolt-Exploit nicht kennt. Aber du kannst ja dein Anmeldepasswort einfach deaktivieren...
+1
Mac-Trek
Mac-Trek27.02.19 20:31
Und wie siehts mit Macs aus, die mit dem T2-Chip ausgerüstet sind? Ist der nicht genau dafür, um solche Schwachstellen abzufangen, überhaupt erst eingebaut worden?
Live long and *apple* . Mögliche Rechtschreibfehler und grammatikalische Entgleisungen sind Gratisgeschenke. Jegliches Nörgeln ist Energieverschwendung >:-]...
0
gfhfkgfhfk27.02.19 21:26
Mac-Trek
Und wie siehts mit Macs aus, die mit dem T2-Chip ausgerüstet sind? Ist der nicht genau dafür, um solche Schwachstellen abzufangen, überhaupt erst eingebaut worden?
Nein, der T2 Chip kann das nicht verhindern, dafür ist er auch nicht gebaut.

Man könnte das Problem mit Hilfe der Intel CPU eindämmen, wenn macOS die Funktionalität IOMMU (Intel nennt es VT-d) richtig nutzen würde. Damit kann man Hardware z.B. den Thunderbolt 3 Controller in spezielle virtuelle Adressräume einsperren. Momentan kann der TB3 Controller den kompletten Computer in physikalischer Adressierung sehen und auf das RAM zugreifen. Mit IOMMU sieht er nur noch seinen virtuellen Adressraum und kann auf anderes RAM nicht mehr zugreifen.
+6
ssb
ssb28.02.19 08:36
Naja, man wird Angriffe über die Interfaces nie ganz verhindern können. Manche Anschlüsse bieten da wenig, andere bieten mehr Angriffsfläche. DMA war halt schon immer ein Problem. Die IOMMU Funktionen richtig zu nutzen wäre natürlich ein Ausweg, aber dann muss im Speicher mehr bewegt werden und das wird zu Lasten der Performance gehen. Der Aufschrei wäre groß, wenn TB-Festplatten plötzlich 30% langsamer wären (der Wert ist erdacht, keine Ahnung wie viel es wirklich ausmachen würde). Noch größer wäre der Aufschrei, wenn ein Gerät gar keine Schnittstellen hätte - auch keine kabellosen.
Das Problem ist, dass aus gutem Grund der Zugriff auf Hardware immer durch den Kernel geht, und der sieht zwangsläufig alles was auf dem Rechner irgendwo steht. EinAngriff auf der Ebene sieht entsprechend auch alles, wenn der Kernel da vorab keine Beschränkungen setzt und der Kernel hat notwendigerweise root-Rechte (eigentlich noch darüber, weil er ja die root-Rechte vergibt).

Es ist wie mit anderen Hardware-Exploits auch. Man kann die schließen, aber dann wird alles langsamer. Das beste ist immer ein Auge auf den Rechner zu haben und physischen Zugang mit Vernunft zu kontrollieren. Die meisten Malware-Angriffe in unserer Firma entstehen noch immer dadurch, dass irgendjemand einen unsauberen USB-Stick ansteckt. Die meisten Rechner in unserer High-Security Zone haben daher gar kein USB und auch sonst kaum Schnittstellen.
+2
mikeboss
mikeboss28.02.19 09:58
in dem moment wo ich physischen zugriff auf eine maschine habe, hat sie eh verloren...
0
Oxymoron28.02.19 10:12
Mac-Trek
Und wie siehts mit Macs aus, die mit dem T2-Chip ausgerüstet sind? Ist der nicht genau dafür, um solche Schwachstellen abzufangen, überhaupt erst eingebaut worden?
Kommt darauf an, in welchem Zustand der Rechner sich befindet und ob die SSD verschlüsselt ist.

Ist er ausgeschaltet und erwartet der T2 Chip zuerst einmal das Passwort, um die Festplatte entschlüsseln zu können, dann dürfte der Exploit zumindest keine Chancen haben, an Daten zu kommen. Zu dem Zeitpunkt ist ja noch nicht einmal das Betriebssystem geladen.

Ist der Rechner eingeschaltet und das Betriebssystem bereits gebootet, dann hängt es von den Möglichkeiten des Betriebssystems ab. Der T2-Chip hat zu diesem Zeitpunkt bereits das Passwort erhalten und liefert alle Daten die angefordert werden entschlüsselt an das Betriebssystem.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen