Macs haben Sicherheitslücke in EFI

Die neu entdeckte Lücke nutzt eine Unregelmäßigkeit im Ruhemodus von OS X und kann Rootkit-Schädlinge auf die betroffenen Macs einschleusen. Dies hat gegenüber den Kollegen von ITnews der Sicherheitsexperte aus Portugal Pedro Vilaça bekannt gegeben. Die Eingreifer können auf den infizierten Macs komplette Kontrolle über das System übernehmen. Anders als bei der Malware auf der Betriebssystemebene braucht der Schädling keine Admin-Passwort-Eingabe, um die Kontrolle zu übernehmen.

Die Lücke konnte Vilaça in der Ruhemodus-Implementierung einiger Macs finden. Im Ruhemodus schalten die Desktop-Macs die Prozessoren, die Festplatten in einen Spar-Modus, das Bildschirm wird ganz abgeschaltet. Zusätzlich dazu schalten sich auf mobilen Macs diverse Peripherie-Optionen ab: die Tastatur-Beleuchtung, Ethernet-Ports, etc. Normalerweise ist die  für die Zusammenarbeit zwischen der Hardware und OS X in diesem Modus zuständige EFI-Schnittstelle nicht änderbar. Vilaça hat aber ein mögliches Szenario entdeckt , wobei man auf manche Bereiche von EFI einen Schreibzugriff erlangen kann. Dafür muss man den betroffenen Mac für 20 Sekunden in den Ruhemodus schicken und dann wieder aufwachen lassen.

EFI-Sicherheitslücke nur für bestimmte Mac-Modelle

Ein mögliches Eingriff-Szenario für die Lücke wäre dann, dem Nutzer eine infizierte Safari-Webseite zu schicken. Der Schädling kann auf dem Rechner auf den nächsten Ruhezustand warten oder selbst den Mac in den Modus schicken. Durch den entdeckten Fehler erhält der Schad-Code den Schreibzugriff in der EFI-Software. Einige zusätzliche Schritte sind noch benötigt, um den Admin-Zugriff auf das System zu erlangen, diese sind nicht sonderlich schwer, teilt Vilaça der ITnews mit. Allerdings eignet sich diese Sicherheitslücke nicht als die Grundlage für einen weit verbreiteten Trojaner, wie es Flashback war. Für jedes anfällige Mac-Modell benötigt es eine eigene Trojaner-Version, da die EFI-Software für jedes Modell angepasst ist.