macOS ist sicher
Thunderspy: Thunderbolt-Schwachstelle gefährdet Boot-Camp-Nutzer
Mit Thunderspy bedroht eine Sicherheitslücke aktuell insbesondere Windows- und Linux-Systeme mit Thunderbolt-Anschluss. Apple-Geräte sind auch nicht komplett außen vor, hier sind allerdings in erster Linie Systeme gefährdet, auf denen Windows oder Linux über Apples Boot Camp betrieben wird. macOS ist nach aktuellen Erkenntnissen sicher.
Direkter Zugang zum Rechner nötig
Ohnehin ist die tatsächliche Gefährdung durch die Sicherheitslücke aufgrund der Tatsache, dass für den Missbrauch direkter Zugang zum Rechner nötig ist, einigermaßen kalkulierbar. Aufklärung tut dennoch Not, denn insbesondere die Verwalter von sensiblen Daten, die mit Geräten arbeiten, die entsprechende Angriffspunkte bieten, sollten über die potenzielle Gefahr informiert sein. Den Aussagen der für die Offenlegung verantwortlichen Sicherheitsexperten zufolge lässt sich auf Basis der Schwachstelle der komplette Festplatteninhalt der Geräte auslesen.
Erste Intel-Stellungnahme liegt vor
Da die Schwachstelle eine Lücke im Thunderbolt-Protokoll ausnutzt, muss Intel als dessen Entwickler und Lizenzinhaber die Verantwortung übernehmen. Eine erste Stellungnahme liegt dann auch schon vor, dementsprechend wurde das Problem bereits mit Windows 10 1803 RS4 und Linux 5.x behoben. Apple habe bereits mit macOS 10.12.4 entsprechend Abhilfe geschaffen. Während in der Tat mittlerweile die meisten Macs mit entsprechend höheren Systemversionen laufen, sind den Sicherheitsforschern zufolge weiterhin viele Windows- und Linux-Installationen anfällig – dies unabhängig von der installierten macOS-Version dann auch beim Betrieb über Boot Camp.
Auf der Thunderspy-Webseite finden sich Tools zum Testen der Gefährdung von Windows- und Linux-Systemen. Apple rät Mac-Nutzern, wenn man Bedenken habe, vom Einsatz dieser Betriebssysteme (unter Boot Camp) abzusehen und ausschließlich macOS zu verwenden.
Schwer vorstellbar, das Thunderbolt-PCs auf Win7 downgegraded haben. Gibt es denn für Win7 Thunderbolt Treiber?
Wo genau kommt jetzt der Bezug zu Windows 7 her?
Davon lese ich im Artikel kein einziges Wort!?
Nennt sich schlussfolgern…der Artikel besagt das aktuelle Versionen sicher sind- der Kommentar schlussfolgerte also das die Vorgängerversion bei Windows 10 also hier Windows 7 (auch wenn nicht ganz korrekt) betroffen ist- allerdings und das trifft auch wohl meiner Meinung nach zu, ist die tatsächliche Gefährdung nicht nur wegen des direkten Zugriffs sondern auch wegen den älteren OS eher gering- gerade Personen die schützenswerte Daten auf den Rechnern haben werden wohl meistens mit den neusten OS Versionen gehen wenn diese nicht ganz verbuggt sind- und mittlerweile dürfte man das bei allen annehmen- auch wenn es andere Kinderkrankheiten vielleicht noch gibt…
Vor Win10 1803RS4 gabs schon einige Win10-Versionen…
Äh. Ihr habt die Quelle richtig gelesen?
macOS ist Null Schutz.
Betrifft also nicht nur BootCamp.
Der Angreifer braucht nur ein Apple-zertifiziertes Thunderbolt-Device.
Nein, Sie haben die Quelle nicht richtig gelesen. MacOS bietet sehr wohl teilweise Schutz. Das is mehr als Null und mehr als bei Linux oder Windows. Außerdem muss man den Mac wie auch den PC ja aufschrauben. Das ist bei vielen Macs ja nicht so einfach
Nein der Angreifer muss einmalig die Daten eines zertifizierten Thunderbolt Devices ermitteln (irgendeines, nicht des Opfers). Danach beliebige Kompromittierung beliebiger Macs, ohne dass an diesen etwas geschraubt werden muss!
@“mr_a“: Laut Thunderspy Webseite sind die Macs (wie die Betreibe schon schrieben) partiell betroffen, wenn man macOS laufen hat. Im Schema Angreifer-Opfer muss der Angreifer auf ein Thunderbolt-Gerät haben, was zuvor in macOS authentifiziert auf dem Mac des Opfers authentifiziert wurden. Andere Thunderbolt-Geräte gleichartigen Typs sind dann somit nicht automatisch auch authentifiziert. Problematisch ist, dass der Angreifer die Authentifizierungsdaten vom zertifizierten Gerät des Opfers kopieren und auf anderen zertifizierten Thunderbolt-Geräten schreiben kann. Dann können auf fremde zertifizierte Thunderbolt-Geräte auf den Mac des Opfers unter macOS zugreifen (alles physisch, zum Glück nicht remote). Bestimmte Geräte wie einige HPs und Lenovo Notebooks (vermutlich wegen dem Bekanntwerden des Problems Thunderclap in 2019) sind unter Win10 auch nur partiell betroffen wie macOS (bei meinem Lenovo Thinkpad T-Series, dessen Firmware für Thunderbolt serienmäßig oft defekt war, musste ich das Thunderbolt-Gerät erst einmal authentifizieren, weshalb meiner theoretisch partiell geschützt wäre, aber ich nutze hauptsächlich Linux und wegen deshalb ist es praktisch vermutlich nicht partiell sicher … aber unter Ubuntu musste ich auch das Gerät authentifizieren … evtl. ist es auch partiell geschützt? Aber Thunderspy Seite sagt nichts davon … nur H e i s e s & W i r e d s Seite erwähnen Win10 und die paar Notebooks …).
Kann es sein, dass Sie Zertifizierung mit Authentifizierung verwechseln?
Wer setzt denn noch Win10 1803 ein? Aktueller Stand ist 1909 und demnächst 2004.
Wenn dein PC sich nicht Updaten lässt weil es Microdoof nicht hinbringt das sich die Versionen auch zuverlässig installieren lassen und immer wieder abbrechen dann bleibst halt bei 1803
@Schlomo: Ein Wort: Firmen ;-)
Habe genügend Großkunden die erst jetzt anfangen zu wechseln weil der Support für 1803 ausläuft. Dann erfolgt der Sprung direkt auf 1903 oder 1909.
In Firmen ist der Wechsel nicht immer ganz so einfach wie bei normalen Endanwendern mit ihrem Office und zwei drei anderen Programmen ;-)
Liegt aber am Wildwuchs oder an der IT-Logik von anno 1995 (gefühlt)
Es könnte so viel einfacher und effizienter sein wenn die meisten Informatiker mehr Eier hätten (weiß nicht wie sich das weibliche pendant dazu nennt)
Da ich selber Informatiker bin und auch mal einige Zeit im Bereich Netze und changemanagement gearbeitet habe meine ich das für meinen beruflichen Einblick beurteilen zu können. Natürlich sind Firmen immer konservativer was Update Prozesse etc. betrifft- aber das liegt eben häufig an irgendwelchen bescheuerten Active Directorys (welche so wie sie heutzutage bei fast allen Firmen genutzt werden noch nicht mal mehr von MS empfohlen werden) meiner Meinung nach gehört das ganz verbuddelt und dann lieber mdm verwendet mit zusätzlicher serverseitiger App bereitstellung (sei es per Streaming oder per WebApp)
Also was ich nach meinem möchte-gern-ausraster sagen wollte: es ginge auch anders und wenn eine Firma noch win95 oder von mir aus auch ein paar Takte jünger nutzt, dann ist das wohl deren Problem und könnte vermieden werden :)
@>Tom-2.0
Du denkst zu betriebssystemlastig. Für Firmen ist aber selten das Betriebssystem relevant, sondern eher die darauf laufenden Applikationen. Und die müssen natürlich auch erst mal problemlos auf der neuesten Betriebssystemversion laufen. Und bevor man das testet wartet man normalerweise auf die Freigabe vom Hersteller, weil man sich den ganzen Testzoo für alle Apps in der Ausführlichkeit garnicht antun kann. Selbst wenn man die dann hat muss man noch hausintern für die eigenen Szenarien/Konfigurationen testen. Den Aufwand will man natürlich so gering wie möglich halten und lässt da auch mal ne Version aus, wenn möglich. Und wenn es bei MS so läuft wie jetzt, dass die Frühjahresreleases die Änderungen bringen und die Herbstreleases quasi nur noch Bigfixes dazu, dann nimmt man natürlich nur die gefixte Version mit und spart sich einmal den Aufwand.
Und Deine empfohlene zentrale Applikationsbereitstellung funktioniert eben auch nicht bei allen. Bei uns werden viele Apps zwingend lokal benötigt, weil die Leute mit den Geräten direkt an Maschinen ankoppeln müssen. Noch dazu mit zeitkritischer Kommunikation. Das kannste mit zentralen Apps alles vergessen.
Uwe trifft genau den Punkt: Irgendwelche Standardsoftware kriegt man meistens zum Laufen. Aber Firmen verwenden häufig (notwendigerweise) branchenspezifische Software von kleinen Softwarefirmen, die meistens lange brauchen, ihre Produkte auf eine sich wandelnde BS-Struktur anzupassen (z.B. weil sie immer noch (zumindest in Teilen) nicht mit 64-Bit klarkommen oder auf Java aufsetzen).
Vollkommen richtig!
Wer nach Jahrzehnten den Wechsel auf x64 noch nicht geschafft hat, sollte ernsthaft darüber nachdenken, den Job zu wechseln und Saftschubse zu machen…
Die Realität sieht anders aus!
Es gibt Frameworks oder Schnittstellen, die vom Hersteller der 55.000.000,- € teuren Maschine nur so zur Verfügung gestellt werden wie sie sind.
Schmeiß ich jetzt die 55.000.000,- € Maschine weg oder setze ich zähneknirschend doch ein 32Bit Windows ein?
Soso: „Active Directory wird selbst von MS nicht mehr empfohlen“
Wo hast Du das denn gelesen?
Hast Du überhaupt schon mal so ein typisches Netzwerk eines Mittelständlers von innen gesehen?