miércoles, 5 de agosto de 2015

Thundestrike 2. El gusano de la manzana dormida

Hace pocos meses conocíamos una nueva vulnerabilidad en sistemas Apple que parecía destinada a hacer que equipos MacBook anteriores a mediados de 2014 sufrieran de insomnio. Un ataque a través del puerto Thunderbolt podía permitir la manipulación de la BIOS al despertar de un estado de hibernación. El ataque fue conocido como Thunderstrike y ahora se conoce una nueva versión del ataque aun más potente.

La investigación realizada por Xeno Kovah y Corey Kallenberg de LegbaCore y Trammell Hudson de Two Sigma Investments, va un paso más lejos de lo mostrado hace unos meses. Este jueves en una conferencia de la Black Hat mostrarán una nueva versión de su ataque que en esta ocasión permite la infección del firmware de los equipos a través de periféricos que se conecten al equipo.

En esta ocasión el ataque hace uso de múltiples vulnerabilidades en el firmware de Apple, una de ellas ya parcheada por Apple en junio (CVE-2015-3692) dentro del "Mac EFI Security Update 2015-001".

Los autores han publicado un vídeo de dos minutos que muestra los resultados del ataque.
https://www.youtube.com/watch?v=Jsdqom01XzY

Thunderstrike 2 usa un exploit para dar acceso root local para cargar un módulo kernel y dar acceso a la memoria raw. La infección inicial podrá llegar a través de una web maliciosa, phishing o USB sin posibilidad de detección, tras lo cual podrá continuar su reproducción a través de dispositivos Thunderbolt que se conecten al equipo.

El malware podrá escribirse a sí mismo en la Option ROM de los periféricos Thunderbolt. Si un periférico infectado se inserta en otro Mac, se ejecutará la Option ROM antes de que se lance el sistema operativo. Aunque todavía el gusano no podrá modificar el firmware. Tendrá que esperar a que el equipo entre en hibernación y salga de ese estado. Tras ello el arranque ya no estará protegido y Thunderstrike 2 podrá escribirse en el firmware.

Más información:

una-al-dia (31/05/2015) Veneno, manzanas y un amargo despertar
http://unaaldia.hispasec.com/2015/05/veneno-manzanas-y-un-amargo-despertar.html

Thunderstrike 2 — Trammell Hudson's Projects
https://trmm.net/Thunderstrike_2

ThunderStrike 2: Sith Strike
https://www.blackhat.com/us-15/briefings.html#thunderstrike-2-sith-strike

Thunderstrike 2 "firmworm" for MacBooks Preview Video
https://www.youtube.com/watch?v=Jsdqom01XzY

Mac EFI Security Update 2015-001
https://support.apple.com/en-us/HT204934

Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , , , , , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017