EFI wird bei aktuellen Macs als erstes gestartet, dieses System checkt die vorhandene Hardware, startet das Betriebssystem und ist damit die Schnittstelle zwischen der Hardware bzw. der Firmware und dem Betriebssystem. Entwickelt wurde EFI bzw. UEFI geht auf eine Initiative von Intel zurück, die das Ziel hatte einen modernen Nachfolger für das betagte BIOS (Basic Input/Output System) zu entwickeln. Durch den Umstieg auf Intel-Prozessoren im Jahr 2006 gehörten aber tatsächlich Macs dann die ersten in Masse gefertigten Computer mit EFI.
EFI bietet gegenüber BIOS und anderen Startsystemen einige entscheidende Vorteile, zum Beispiel die Möglichkeit Netzwerkverbindungen zu nutzen, so ist es bei aktuellen Macs möglich neben einem lokalen Rescue-System auch eines aus dem lokalen Netzwerk oder sogar über das Internet direkt von Apple zu laden – was angesichts kaum noch anzutreffender DVD-Laufwerke sehr sinnvoll ist. Mit diesen erweiterten Möglichkeiten kommen aber auch erweiterte Gefahren.
Schwer zu erkennen, kaum zu entfernen
Schädlinge, die direkt auf EFI-Ebene angreifen und sich dort einnisten, sind nur schwer zu erkennen, teilweise gar nicht mehr zu beseitigen und haben im Gegenzug eine Kontrolle über den Rechner, die jede noch so ausgeklügelte Sicherheitsmaßnahme des Betriebssystems einfach unterläuft. Mit macOS High Sierra hat Apple daher einen wöchentlichen EFI-Check eingeführt. Dabei wird im Hintergrund die installierte Version mit den Originalversionen von Apple abgeglichen und im Fall einer Abweichung der Nutzer informiert. Dieser kann sich dann einen Bericht anzeigen und den auch an Apple senden – was darüber hinaus passiert, ob und wie Apple dann Hilfestellung gibt, die manipulierte EFI wieder loszuwerden, ist noch offen. Aber es zeigt zumindest, dass Apple hier weiteren Handlungsbedarf gesehen hat.
Aber ich mache doch alle Updates…?
Nun sollte man glauben, dass der typische Mac-Nutzer, der immer brav seine Updates macht, weitgehend sicher sein sollte, zumindest was die bekannten Angriffe betrifft. Also Thunderstrike und ThunderStrike 2 zum Beispiel, bei denen Macs über ein manipuliertes Thunderbolt-Device angegriffen werden konnten (können) oder das als „Sonic Screwdriver“ bekannte Angriffstool aus dem CIA-Fundus. So ganz stimmt das aber nicht, offenbar gibt es bei den Updates Probleme, die dazu führen, dass Macs mit alten EFI-Versionen weiter laufen, obwohl entsprechende Updates installiert wurden.
Ein Team von Duo Security hat sich die jeweils aktiven EFI-Versionen von über 73.000 Macs angesehen und dabei festgestellt, dass im Schnitt 4,2% dieser Macs andere EFI-Versionen hatten, als die installierten Systemversion nahelegen würde. Dabei gibt es deutliche Unterschiede zwischen verschiedenen Modellen, trauriger Spitzenreiter ist hier der 21.5″ iMac von 2015. Bei diesem Modell hatten 43% nicht die eigentlich zu erwartende EFI-Version installiert.
Tatsächlich für die bekannten Angriffe anfällig waren zwar nur 78 der geprüften Macs (47 für Thunderstrike, 31 für ThunderStrike 2) und nur 16 hatten offensichtlich überhaupt keine EFI-Updates erhalten. Warum die Updates in diesen Fällen nicht funktionierten, konnten die Experten von Duo Security nicht in allen Fällen sagen. Eine Problem ist wohl das Bundlen der EFI-Updates mit den Systemupdates.
Während vor 2015 die Installation von EFI-Updates eine – für den durchschnittlichen Mausschubser – relativ komplizierte Angelegenheit war, wollte Apple mit dem neuen Installationsweg eigentlich sicher stellen, dass alle Systeme ihre Updates bekommen. Abhängig vom Zeitpunkt der Installation scheinen einige Mac-Modelle gar keine EFI-Updates mehr zu erhalten auf diesem Weg oder sogar ältere Versionen – diese können aber nicht installiert werden, da das EFI-System beim Mac hier keine Downgrades erlaubt.
Alarmierend oder nicht: Es besteht Handlungsbedarf
Ob man die Zahlen wirklich als „alarmierend“ einstufen will oder nicht, sicher ist, dass Apple hier nachforschen muss, um zumindest für die Zukunft sicherzustellen, dass EFI-Updates auch wirklich installiert werden und mindestens alle mit aktuellen macOS-Versionen versorgten Modelle auch aktuelle EFI-Updates erhalten und installieren.
As the pre-boot environment becomes increasingly like a full OS in and of its own, it must likewise be treated like a full OS in terms of the security support and attention applied to it. Duo Security
Denn hat sich dort erst einmal Schadsoftware eingenistet, ist diese im Zweifelsfall nicht mehr zu entfernen, zumindest nicht vom User mit den normalen Bordmitteln. Da auch alternative Betriebssysteme und EFI-Updater nicht gestartet werden können, ohne von der manipulierten Software gestartet zu werden, kann sich die Schadsoftware relativ einfach gegen ein Überschreiben zur Wehr setzen.
Apple: Blahblah
Apple hat zwar mit einer Stellungnahme reagiert, aber die beschränkt sich auf den Hinweis darauf, dass es sich hier um kein Apple-spezifisches Problem handle, allgemeines „wir bemühen uns“ und den Hinweis auf den neuen wöchentlichen Check in macOS High Sierra. Nun ist EFI als solches sicherlich ein Problem, dass alle Hersteller betrifft – wenn jedoch Macs beim Installieren der Updates versagen, dann ist es doch wieder ein Apple-Problem. Und der wöchentliche Check in macOS High Sierra prüft leider nur auf Manipulationen, aber nicht auf veraltete Versionen. Der Check gilt als erfolgreich abgeschlossen, wenn nur eine offizielle EFI-Version von Apple auf dem Gerät installiert ist – wie alt diese ist, interessiert das Tool überhaupt nicht. Zumindest bislang nicht.
Aufpassen – nicht nur Mac-Nutzer!
Für Mac-User hat Duo Security ein Tool namens EFIgy angekündigt, mit dem man prüfen kann, ob der eigene Rechner anfällig ist für die bekannten EFI-Angriffe. Windows- und Linux-User haben es hier etwas schwerer, unter Windows kann über das Kommando wmic BIOS get name, version, serialnumber – ausgeführt als Administrator – die installierte UEFI-Version ausgelesen werden. Diese kann man dann manuell mit der vom Hersteller des Rechners als aktuell angegebenen Version vergleichen und im Falle eines Falles entsprechend den Hersteller-Angaben hoffentlich ein Update installieren. Für Linux gib es hier verschiedene Möglichkeiten, die auch von der verwendeten Distribution abhängen.
Auch wenn entsprechende Angriffe in den meisten Fällen den physischen Zugang zum Rechner benötigen und auch eher anspruchsvoll sind, dürfen vor allem die Hersteller – nicht nur Apple – das Problem nicht auf die leichte Schulter nehmen. Schließlich werden entsprechende Angriffe auch immer weiter entwickelt und das Ziel ist hier sehr verlockend, kann man mit einem erfolgreichen Angriff nicht weniger als die totale Kontrolle über ein System bekommen und das im Idealfall sogar unbemerkt und ohne Möglichkeit für das Opfer, die Infektion los zu werden.
via ArsTechnica
