Onderzoeker demonstreert firmware-aanval op Macbook
Eind december zal een onderzoeker laten zien hoe het mogelijk is om op een Apple Macbook een bootkit te installeren die het opnieuw installeren van het besturingssysteem en het vervangen van de harde schijf kan overleven. De bootkit kan via iemand die fysiek toegang tot de laptop worden geïnstalleerd. Hiervoor wordt de extern toegankelijke Thunderbolt-poort gebruikt. Zodra de bootkit actief is kan die zich viraal verspreiden door andere Thunderbolt-apparaten te infecteren.
Volgens onderzoeker Trammell Hudson is het mogelijk om de controle te omzeilen die Apple gebruikt voor EFI ( Extensible Firmware Interface) firmware-updates. Hierdoor kan een aanvaller met fysieke toegang kwaadaardige code aan de firmware op de ROM van het moederbord toevoegen en zo een nieuwe klasse van firmware-bootkits voor Macbooks creëren. De firmware wordt tijdens het opstarten niet cryptografisch gecontroleerd, waardoor de kwaadaardige code vanaf het begin volledige controle over het systeem heeft.
Hudson ontwikkelde een "proof of concept" bootkit die Apple's publieke RSA-sleutel in de firmware vervangt en pogingen voorkomt om de kwaadaardige code te vervangen. Aangezien de boot-firmware onafhankelijk van het besturingssysteem werkt, blijft de bootkit na een herinstallatie van het besturingssysteem gewoon bestaan. Ook het vervangen van de harde schijf heeft geen effect. Alleen via een programmeerapparaat kan de originele firmware worden hersteld.
De onderzoeker merkt op dat de firmware van andere Thunderbolt-apparaten kan worden aangepast door de bootkit en zich zo verder kan verspreiden. "Hoewel het twee jaar oude Thunderbolt firmware-lek dat deze aanval gebruikt met een firmware-patch is te verhelpen, is het grotere probleem van Apple's EFI-firmware security en secure booting zonder vertrouwde hardware lastiger op te lossen." Hudson zal tijdens zijn presentatie op de CCC Conferentie meer details geven.
Gelukkig kennen Apple apparaten sinds OS X de mogelijkheid een firmware password in te stellen dat vanaf ± 2011 machines alleen nog door Apple zelf te resetten is zonder het juiste wachtwoord te kennen.
Sowieso zijn nieuwe Mac's(books) tegenwoordig nogal lastig uitelkaar te halen, alles zit vastgelijmd en vastgesoldeerd.
Een plus in dit specifieke attack-geval, maar over het algemeen een hele zware, zware, zware min voor gewone gebruikers die niet na 3 jaar voor een defect met torenhoge kosten te maken willen krijgen in geval van een uitbreiding of een defect.
Echt een hele, hele, hele zware, zware min wat betreft aanschaf van Apple hardware de laatste tijd.
Bij oudere machines kan een firmware password in voorkomende gevallen nog wel met succes hardwarematig ge-reset worden.
De eigenaar kan, als dat gebeurd zou zijn, in dat geval dat eenvoudig controleren door te kijken of het firmware password op het systeem nog aanwezig is en ook hetzelfde password betreft.
Verder is het (met belangstelling) wachten op de methode waar betreffende onderzoeker mee komt.
Firmware password dus.
Oppassen geblazen (!) met het bewaren van je firmware password en bij aanschaf van een nieuwe Mac direct goed nadenken over bijvoorbeeld geheugen en storage capaciteit.
Uitbreiding van storage of reparaties bij een verloop van de standaard garantietermijn gaat je achteraf het nodige verplichte vele geld kosten.
Budget doe het zelven is er niet meer bij waardoor de lange levensduur van Mac's na verloop van de garantietermijn tegenwoordig niet zo'n voordeel is meer vanwege de hoge financiële risico's..
On-topic: Ben benieuwd welke generaties allemaal kwetsbaar zijn, kan me zo voorstellen dat die EFI code al jaren in gebruik is ...
https://support.apple.com/en-us/ht1352
Beste Shanghai (Picasa Gerard? ;) , sommige meer algemene informatie is erg eenvoudig te vinden op het internet of op de Apple support pages zelf, zoals je met gegeven informatieve link bij deze hebt bewezen.
:)
https://support.apple.com/en-us/ht1352
Beste Shanghai (Picasa Gerard? ;) , sommige meer algemene informatie is erg eenvoudig te vinden op het internet of op de Apple support pages zelf, zoals je met gegeven informatieve link bij deze hebt bewezen.
:)
Gelukkig kennen Apple apparaten sinds OS X de mogelijkheid een firmware password in te stellen dat vanaf ± 2011 machines alleen nog door Apple zelf te resetten is zonder het juiste wachtwoord te kennen.
Update : Serious trouble
Het instellen van een firmware password gaat niet helpen tegen deze hack.
Niets eigenlijk, behalve je Mac nooit meer uit het oog verliezen of je Thunderbolt poorten dichtkitten (zou het ook met de voormalige Firewire poorten of zelfs usb poorten kunnen werken?).
The Thunderstrike attack is not prevented by having a firmware password enabled. The PCIe Option ROM on the Thunderbolt device is loaded before the firmware password is checked, allowing it to bypass the password protection. It can also clear or reset the password if desired.
https://trmm.net/EFI
Onder het "In the media" overzicht van dat artikel staat overigens ook een link naar hier, cirkeltje rond.
;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.