Hace
pocos meses conocíamos una nueva vulnerabilidad en sistemas Apple que parecía
destinada a hacer que equipos MacBook anteriores a mediados de 2014 sufrieran de
insomnio. Un ataque a través del puerto
Thunderbolt podía permitir la manipulación de la BIOS al despertar de un estado
de hibernación. El ataque fue conocido como Thunderstrike y ahora se conoce
una nueva versión del ataque aun más potente.
La investigación realizada por Xeno Kovah y Corey Kallenberg de LegbaCore y Trammell Hudson de Two Sigma Investments, va un paso más lejos de lo mostrado hace unos meses. Este jueves en una conferencia de la Black Hat mostrarán una nueva versión de su ataque que en esta ocasión permite la infección del firmware de los equipos a través de periféricos que se conecten al equipo.
En esta ocasión el ataque hace
uso de múltiples vulnerabilidades en el firmware de Apple, una de ellas ya parcheada por Apple en junio
(CVE-2015-3692) dentro del "Mac EFI Security Update 2015-001".
Los autores han publicado un vídeo
de dos minutos que muestra los resultados del ataque.
Thunderstrike 2 usa un exploit
para dar acceso root local para cargar un módulo kernel y dar acceso a la
memoria raw. La infección inicial podrá llegar a través de una web maliciosa, phishing
o USB sin posibilidad de detección, tras lo cual podrá continuar su reproducción
a través de dispositivos Thunderbolt que se conecten al equipo.
El malware podrá escribirse a sí
mismo en la Option ROM de los periféricos Thunderbolt. Si un periférico
infectado se inserta en otro Mac, se ejecutará la Option ROM antes de que se
lance el sistema operativo. Aunque todavía el gusano no podrá modificar el
firmware. Tendrá que esperar a que el equipo entre en hibernación y salga de
ese estado. Tras ello el arranque ya no estará protegido y Thunderstrike 2 podrá
escribirse en el firmware.
Más información:
una-al-dia (31/05/2015) Veneno,
manzanas y un amargo despertar
Thunderstrike 2 — Trammell
Hudson's Projects
ThunderStrike 2: Sith Strike
Thunderstrike
2 "firmworm" for MacBooks Preview Video
Mac EFI
Security Update 2015-001
Antonio Ropero
Twitter: @aropero