{"id":4652,"date":"2015-01-15T09:30:52","date_gmt":"2015-01-15T09:30:52","guid":{"rendered":"http:\/\/kasperskydaily.com\/germany\/?p=4652"},"modified":"2020-02-26T18:38:07","modified_gmt":"2020-02-26T16:38:07","slug":"thunderstrike-mac-osx-bootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/thunderstrike-mac-osx-bootkit\/4652\/","title":{"rendered":"Das m\u00fcssen Sie \u00fcber das Mac-Bootkit Thunderstrike wissen"},"content":{"rendered":"

Auf der 31. Chaos Computer Club Conference, die vor einigen Wochen in Hamburg stattfand, tauchte das erste, \u00f6ffentlich bekannte Firmware-Bootkit f\u00fcr Mac OS X auf<\/a>.<\/p>\n

\"\"<\/p>\n

Der Sicherheitsforscher Trammel Hudson entwickelte den Sch\u00e4dling und nannte ihn Thunderstrike. Er nutzt eine tief im Kern des OS-X-Betriebssystems liegende Sicherheitsl\u00fccke aus. Die L\u00fccke liegt sogar unter dem Betriebssystem. Hudson hat Apple bereits dar\u00fcber informiert und das Unternehmen hat das Problem bereits in allen Ger\u00e4ten au\u00dfer dem Macbook behoben.<\/p>\n

Zweifellos ist Thunderstrike, wie alle Boot- und Rootkits<\/a>, eine fiese Bedrohung, die die Kontrolle \u00fcber alles, das Sie auf Ihrem Computer machen, \u00fcbernehmen kann. Sozusagen eine Art Ebola der Computerwelt: Wird der Computer infiziert, hat das verheerende Konsequenzen, doch die Wahrscheinlichkeit, sich zu infizieren ist relativ gering.<\/p>\n

Bootkits sind eine Art Rootkit<\/a>, die sich im Boot-Prozess unter dem Betriebssystem des Computers einnistet und die komplette Kontrolle \u00fcber den infizierten Computer \u00fcbernimmt. Sie beeinflussen den Master Boot Record und starten sich selbst noch bevor das Betriebssystem geladen wird. Und auch wenn Sie das Betriebssystem l\u00f6schen, bleibt das Bootkit auf dem Computer erhalten. Deshalb sind Bootkits so schwer zu entdecken und halten allen Versuchen stand, gel\u00f6scht zu werden<\/a>, wobei moderne Antivirus-L\u00f6sungen sie entfernen k\u00f6nnen<\/a>.<\/p>\n

Das Mac-Thunderstrike-Bootkit wird nur \u00fcber Hardware- oder Thunderbolt-Kabel-Zugriff \u00fcbertragen:<\/p>Tweet<\/a><\/blockquote>\n

Thunderstrike ist ein Bootkit f\u00fcr Mac-OS-X-Ger\u00e4te, das \u00fcber direkten Hardware-Zugriff oder eine Thunderbolt-Verbindung installiert werden kann. Die Infizierung \u00fcber direkten Hardware-Zugriff ist eher unwahrscheinlich. Dann daf\u00fcr m\u00fcsste entweder der Hersteller das Bootkit installieren oder ein Angreifer m\u00fcsste Ihr Macbook aufschrauben und den Sch\u00e4dling selbst in die Hardware installieren.<\/p>\n

Die zweite M\u00f6glichkeit \u00fcber Thunderbolt-Verbindungen ist dagegen eher umsetzbar. Wir haben sogar einen Begriff f\u00fcr solche Angriffe: \u201eEvil Maid\u201c-Attacken (deutsch: b\u00f6ses Zimmerm\u00e4dchen). Oder es sind staatlich finanzierte Angriffe, bei denen Laptops zum Beispiel auf Flugh\u00e4fen und bei Grenzkontrollen konfisziert und untersucht werden. Die gleiche Methode kann immer dann angewendet werden, wenn Sie nicht an Ihrem Computer sitzen.<\/p>\n

Und genau wie bei Ebola, das nur \u00fcber direkten Kontakt mit K\u00f6rperfl\u00fcssigkeiten \u00fcbertragen werden kann, ist auch Ihr Computer nur durch Thunderstrike infizierbar, wenn ihn jemand auseinandernimmt oder eine Thunderbolt-Verbindung damit aufbaut, um die sch\u00e4dliche Firmware von einem anderen Ger\u00e4t aus zu installieren.<\/p>\n

\u201eEs kann nicht von anderen Programmen entfernt werden. Eine Neuinstallation von OS X kann es nicht entfernen. Und auch ein Ersetzen der SSC entfernt es nicht, da nichts auf der Festplatte gespeichert ist.\u201c<\/div>\n

Andere Schadprogramme sind weniger extrem, werden daf\u00fcr aber viel weiter verbreitet. Um den Gesundheitsvergleich weiterzuspinnen: Mit einer Erk\u00e4ltung kann man sich jederzeit anstecken und sie stellt f\u00fcr die Bev\u00f6lkerung ein viel gr\u00f6\u00dferes Risiko dar als Ebola, obwohl eine Erk\u00e4ltung normalerweise nicht t\u00f6dlich verl\u00e4uft. Genau so ist ein Schadprogramm, das Prozessorleistung stiehlt und den Computer in ein Botnetz einf\u00fcgt nicht so besorgniserregend wie Thunderstrike, aber da es Ihren Computer \u00fcber das Internet, sch\u00e4dliche E-Mails, Drive-by-Downloads und viele andere Infizierungswege befallen kann, ist es f\u00fcr die Menschen ein viel gr\u00f6\u00dferes \u00c4rgernis.<\/p>\n

\u201eDa Thunderstrike das erste OS-X-Firmware-Bootkit ist, sucht momentan kein Programm danach\u201c, so Hudson zu seiner Sch\u00f6pfung. \u201eEs kontrolliert das System vom ersten Befehl an, so dass es Tastatureingaben, inklusive Tastenkombinationen zur Festplattenverschl\u00fcsselung, mitschneiden, Backdoors im OS-X-Kernel platzieren und Firmware-Passw\u00f6rter umgehen kann. Es kann nicht von anderen Programmen entfernt werden, da es die Signatur-Keys und Update-Routinen kontrolliert. Eine Neuinstallation von OS X kann es nicht entfernen. Und auch ein Ersetzen der SSC entfernt es nicht, da nichts auf der Festplatte gespeichert ist.\u201c<\/p>\n

Am besten sch\u00fctzen Sie sich vor Thunderstrike indem Sie sicherstellen, dass niemand auf Ihr Macbook zugreifen oder es stehlen kann.<\/p>\n

Dann k\u00f6nnen Sie sich beruhigt zur\u00fccklehnen und AC\/DC anh\u00f6ren:<\/p>\n