Alte EFI-Firmware bedroht Mac-Sicherheit

Ein Teil der voll gepatchten Mac-Systeme von Apple ist sicherheitstechnisch ziemlich schlecht aufgestellt, weil ungepatchte EFI-Sicherheitslücken für Angriffe ausgenutzt werden können.


Anzeige

Interessante Erkenntnis, die gerade öffentlich wurde. Wir patchen zwar alle unsere Systeme wie die Weltmeister ('Junge, ohne frische Unterwäsche und voll durchgepatcht gehst Du mir nicht ins Internet', sagte die Mutter immer). Auch bei Apple rollt man Update um Update für macOS aus (und packt sogar EFI-Firmware-Updates in die Patches).

Es hat mal jemand genauer nachgesehen

Bei Duo Labs haben Sicherheitsforscher sich mal Macs angesehen, um deren Sicherheit zu beurteilen. Die Forscher haben gestern die Erkenntnisse auf der Ekoparty in Buernos Aires vorgestellt und im Blog-Beitrag The Apple of Your EFI: Mac Firmware Security Research dokumentiert.

  • Die Forscher analysierten dazu alle Apple Mac-Updates der letzten drei Jahre (10.10.0 – 10.12.6). Ziel war es, eine Taxonomie der EFI-Updates zu erstellen, die in den größeren OS- und Security-Updates von Apple enthalten waren. Daraus wurde ein Datensatz erstellt, der die OS-Build- und Mac-Modelle auf die erwartete EFI-Version abbildet.
  • Dann wurden die OS-Version, Build-Nummer, Mac-Modellversion und EFI-Firmware-Version von über 73.000 Mac-Systemen aus der realen Welt gesammelt. Diese sind in Behörden und Firmen in diversen Branchen im Einsatz.

Nachdem diese beiden Datensätze vorlagen, analysierten die Forscher diese unabhängig voneinander und verglichen die Daten. Ziel war eine Aussage über das Sicherheitsniveau des EFI-Supports für eine Macintosh-Umgebung zu erhalten. Oder auf die einfache Frage heruntergebrochen: Sind die Macs auf den EFI-Firmware-Stand aktualisiert, den man nach den verfügbaren Updates erwarten kann.

Eine alarmierende Anzahl Macs ist per EFI angreifbar

Das ernüchternde Ergebnis: Die Macs schienen zwar alle Update-mäßig auf dem aktuellen Stand. Aber 4,2 % der Maschinen (das wären beim Stichprobenumfang über 3.000 Geräte) liefen mit EFI-Versionen, die von dem abwichen, was eigentlich nach dem Apple-Update-Stand zu erwarten wäre.

  • 47 Mac-Modelle blieben anfällig für die ursprüngliche Thunderstrike-Lücke, 31 waren anfällig für Thunderstrike 2.
  • Mindestens 16 Mac-Modelle erhielten überhaupt keine EFI-Updates.
  • Andere Modelle lieferten ein inkonsistentes Bild hinsichtlich erfolgreicher EFI-Firmware-Updates.

Der Ende 2015 veröffentlichte 21,5-Zoll iMac führte die Liste der nicht erfolgreichen EFI-Updates an. 43 Prozent der iMacs aus dem Stichprobenumfang liefen mit einer falschen EFI-Firmware-Version. Die Forscher zogen folgende Schlüsse:

  • Wer eine Version von macOS/OS X verwendet, die älter ist als die aktuellste Hauptversion (10.12 Sierra zum Zeitpunkt des Verfassens des Artikels) ist, bei dem ist die EFI-Firmware des Mac möglicherweise nicht auf dem aktuellen Patch-Stand.
  • Obwohl OS X 10.11 (El Capitan) und 10.10 (Yosemite) immer noch Sicherheitsupdates von Apple erhalten, scheinen die EFI Firmware-Updates, die sie erhalten, hinterherzuhinken oder fehlen völlig.
  • Selbst wenn die aktuellste Version von macOS verwendet wird und die aktuellsten Patches installiert werden, zeigen die Daten der Sicherheitsforscher, dass es eine nicht triviale Chance gibt, dass die EFI-Firmware der Maschinen nicht auf dem aktuellen Stand ist.

Wer eines der 16 unten aufgeführten Mac-Modelle verwendet, bekommt nach den Daten der Sicherheitsforscher überhaupt keine EFI Firmware-Update:

Mac Modell Version
iMac iMac7,1; iMac8,1; iMac9,1; iMac10,1
MacBook MacBook5,1; MacBook5,2
MacbookAir MacBookAir2,1
MacBookPro MacBookPro3,1; MacBookPro4,1; MacBookPro5,1; MacBookPro5,2; MacBookPro5,3; MacBookPro5,4
MacPro MacPro3,1; MacPro4,1; MacPro5,1

Bedeutet im Klartext: Die Macs sind über die EFI-Firmware angreifbar, egal wie gut macOS gepatcht wurde. EFI-Hacks sind besonders schwierig zu entdecken und der Hacker bringt das System unter seine Kontrolle (wurde von der NSA bereits ausgenutzt).

Bei Der Standard schreibt man, dass Apple auf den Bericht von Duo Security reagierte. Die neueste macOS-Version "macOS High Sierra" validiert wöchentlich automatisch die Firmware. Dort schreibt man auch, dass EFI-Hacks viel Expertise erfordern und daher Privatnutzer eher nicht gefährdet sind. Würde ich nicht folgen wollen – es kommt immer auf die Motivation der Angreifer an. Im Blog-Beitrag geben die Sicherheitsforscher noch Hinweise (auch auf Tools), mit denen man seine EFI-Versionen ggf. überprüfen kann.


Anzeige

Ergänzung: heise.de hat nun diesen Beitrag zum Thema, der einige ergänzende Interpretationen enthält, veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, macOS X, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.