THUNDERSTRIKE 2 verbreitet sich über Thunderbolt

06/08/2015 - 12:38 von Fritz | Report spam
Auch wenn Apple mittlerweile reagiert hat, so zeigt es, dass am Mac die
Zeit wo man sich làchelnd (gegenüber der Windows Welt) zurücklehnen
konnte, vorbei ist.
Auch am Mac heißt es, immer up to date mit den Patches zu sein.
Bei Hardware heißt nun die Devise 'trau schau wem'.

Zudem zeigen diese Angriffsszenarien, sie gehen an den Möglichkeiten
eines heutigen Virenscanners völlig vorbei.

Am Mac halte ich sowieso einen Virenscanner (tief im System verankerter
Real Time Scanner) eher kontraproduktiv. Einzig ClamXav kann hilfreich
sein, wenn oftmals Dateien mit Windows Rechnern ausgetauscht werden.

<http://www.computerbase.de/2015-08/...rbolt/>
Zitat:
»Nun wurde mit Thunderstrike 2 ein neuer EFI-Wurm von Xeno Kovah und
Trammel Hudson vorgestellt, der sich über Thunderbolt-Adapter oder
Peripherie verbreitet.
Da sich Thunderstrike 2 im EFI von MacBooks festsetzt, ist dieser für
herkömmliche Sicherheitsmechanismen nicht zu erkennen. Darüber hinaus
schafft auch die Neuinstallation des Betriebssystems oder der Austausch
der Datentràger keine Abhilfe. Besonders problematisch ist der
Schàdling, weil er auch aus der Ferne über eine manipulierte Website
eingeschleust werden kann. Dabei sind gleich drei Schwachstellen im EFI
gefunden worden, die den Angriff ermöglichen.
Der Wurm ist auch für Systeme von Unternehmen gefàhrlich, die aufgrund
der Netzwerkstruktur für einen Angriff auf spezifische Rechner
eigentlich nicht in Betracht kommen. Der Grund liegt darin, dass
Thunderstrike 2 nach der Infizierung des MacBooks nach Peripherie mit
Option ROM Ausschau hàlt, wie beispielsweise
Thunderbolt-auf-Ethernet-Adapter oder auch externe Datentràger. Wird ein
solches Geràt angeschlossen, wird die Malware übertragen und kann sich
so potenziell auf den nàchsten Computer übertragen.«

»Ursprünglich hatten die Sicherheitsforscher fünf Sicherheitslücken im
EFI der MacBooks gefunden und diese Apple gemeldet. Das Unternehmen aus
Cupertino hat daraufhin reagiert und die erste bereits vollstàndig
geschlossen und eine zweite teilweise entfernt. Darüber hinaus wollen
die Sicherheitsforscher im Rahmen der Black-Hat-Konferenz weitere
Details zu dem Thema veröffentlichen und gleichzeitig Tools
pràsentieren, mit welchen sich das Option ROM der Peripherie bereinigen
làsst. Entsprechende Mittel stehen aber nicht für infizierte Firmware
von Macs zur Verfügung.«

What You Need to Know About the Thunderstrike 2 Worm
<http://tidbits.com/article/15841?>

Researchers Create First Firmware Worm That Attacks Macs
<http://www.wired.com/2015/08/resear...-macs/>
Zitat:
»The only way to eliminate malware embedded in a computer’s main
firmware would be to re-flash the chip that contains the firmware.
“[The attack is] really hard to detect, it’s really hard to get rid of,
and it’s really hard to protect against something that’s running inside
the firmware,” says Xeno Kovah, one of the researchers who designed the
worm. “For most users that’s really a throw-your-machine-away kind of
situation. Most people and organizations don’t have the wherewithal to
physically open up their machine and electrically reprogram the chip.”
It’s the kind of attack intelligence agencies like the NSA covet. In
fact, documents released by Edward Snowden, and research conducted by
Kaspersky Lab, have shown that the NSA has already developed
sophisticated techniques for hacking firmware.«

Fritz
Ironie, Sarkasmus, Satire, Farce, Persiflage, Metapher sind keinesfalls
ausgeschlossen!
 

Lesen sie die antworten

#1 Joe Kotroczo
07/08/2015 - 11:38 | Warnen spam
On 06/08/2015 11:38, Fritz wrote:
(...)
Am Mac halte ich sowieso einen Virenscanner (tief im System verankerter
Real Time Scanner) eher kontraproduktiv. Einzig ClamXav kann hilfreich
sein, wenn oftmals Dateien mit Windows Rechnern ausgetauscht werden.



Auch bei ClamXav bin ich mir nicht sicher ob das wirklich nötig ist. Ich
lasse den alle halbe Jahre mal laufen, und er findet mit schöner
Regelmàßigkeit... genau gar nichts. Der letzte Virus der mit
untergekommen ist muß vor mindestens 10 Jahren gewesen sein, und das war
eine infizierte Word-Datei.

Ähnliche fragen