OSX – Snow Leopard / Lion – Passwort per Firewire über Direct Memory Access auslesen

Vor ca. 6 Monaten hat fast jedes IT-Portal darüber berichtet, dass unter Mac OS X Lion (10.7) und Snow Leopard (10.6) das Login-Passwort sowie der FileVault(2)-Key über Firewire aus dem RAM (Direct Memory Access, kurz DMA) ausgelesen werden kann.

UPDATE_2013-01-14: Inception ist ein neues kostenloses Tool zum Auslesen per DMA. (gleiche Sicherheitslücke wie damals, mit Mac OS X 10.7.2 und höher behoben – jedenfalls wenn der Mac gesperrt ist)

cnet.com – Mac OS X Lion reveals passwords in sleep mode?
macwelt.de – Passware liest Mac-Passworte über Firewire aus
pcmag.com – Your New Lion Mac Can Be Cracked Over Firewire
silicon.de – Apples Mac OS X Lion verrät Passwörter

WANN? WIE? Dabei ist nur wichtig, dass der jeweilige User eingeloggt ist. Der Mac kann sich zu diesem Zeitpunkt im Standby, Ruhezustand oder auf dem Sperrbildschirm befinden. Um diese Sicherheitslücke auszunutzen wird der Mac über Firewire oder theoretisch auch über Thunderbolt mit einem anderen PC (oder einer manipulierten Festplatte) verbunden und ein Speicherabbild vom Arbeitsspeicher erstellt. Dieses Speicherabbild wird dann analysiert und in wenigen Minuten, wenn nicht sogar nur Sekunden, wird das Klartext Passwort angezeigt!

Safety Lock - SicherheitsschloßFoto: IMG_3383 (Joe Buckingham/Flickr, CC BY 2.0)

ABER? Keines der IT-Portale hat nach dem Erscheinen von Mac OS X Lion 10.7.2 Entwarnung gegeben, fast jedes Portal hat zwar über das Update berichtet, aber keiner hat auch nur Ansatzweise erwähnt, dass mit diesem Update die Sicherheitslücke behoben wurde – die noch vor 6 Monaten so stark diskutiert wurde!

Auswirkung: Eine Person mit physischem Zugang kann auf das Kennwort des Benutzers zugreifen.

Beschreibung: Ein Logikfehler im DMA-Schutz des Kernel erlaubte einen Firewire-DMA am Anmeldefenster, beim Starten und Herunterfahren, jedoch nicht an der Bildschirmsperre. Diese Aktualisierung behebt das Problem, indem ein Firewire-DMA in allen Zuständen verhindert wird, in denen der Benutzer nicht angemeldet ist.

CVE-2011-3215: Passware, Inc.

Quelle: apple.com – Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006

ACHTUNG! Unter 10.6.8 (Snow Leopard) wurde die Sicherheitslücke nicht behoben!

Auf ilostmynotes.blogspot.com wurde das Sicherheitsleck unter 10.6.8 erfolgreich ausgenutzt und unter 10.7.2 funktioniert das Auslesen des Passwortes nur noch wenn der User ungesperrt angemeldet ist!

Quellen & Hintergründe:
macmark.de – 2011-08-17 Klartext-Paßworte im RAM
ilostmynotes.blogspot.com – Firewire and DMA attacks on OS X
macuser.de – Paßwort und Keychain aus RAM lesbar per Firewire
frameloss.org – Firewire Attacks Against Mac OS Lion FileVault 2 Encryption
apple.com – Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006

Veröffentlicht von

_nico

Mac-User aus Leidenschaft, Blogger seit Oktober 2009, 88er Baujahr, technikaffin. Ich fühle mich aber nicht nur auf Apple'schen Betriebssystemen zu Hause, alles was eine Shell hat, interessiert mich besonders! Ihr findet mich auch auf Twitter und Google+.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.