Últimas Manzana Malware: Imparable, indetectable y capaz de infectar dispositivos Thunderbolt

Esta es una traducción automática mejorada de este artículo.

En comparación con los sistemas Windows, Apple ha mantenido la superioridad de seguridad por muchos, muchos años. Sin embargo, el último método de entrega de malware de prueba de concepto podría poner fin a eso.

 Apodado “Thunderstrike”, este malware es imposible eliminar por métodos convencionales a menos que tenga acceso a hardware especializado. Trammel Hudson, un investigador de seguridad ha utilizado a la Opción ROM del dispositivo con el fin de demostrar el uso de un rayo periférico que cargar lo que se refiere como un “bootkit”.

Desarrollado en 1980, Option ROM son opcionales, periférico específico, diseñado como un método alternativo de almacenar programas críticos o recuperar bloques específicos periféricos de memoria. Iniciada al principio del proceso de arranque, por lo general se aferran a sí mismos a la BIOS con el fin de proporcionar un dispositivo de arranque o inicio de red. Los dispositivos que se ejecutan en Thunderbolt están equipadas con su propia opción ROM, algo que todos los de Apple verificar, este proceso forma parte de la propia secuencia de arranque del hardware.

Lo Thunderstrike hace es que inyecta desde la opción ROM infectados del dispositivo Thunderbolt directamente en la interfaz de firmware extensible del sistema o EH. De acuerdo con la documentación / UEFI EFI, el firmware debe ser bloqueada por defecto, lo que haría que esta acción maliciosa imposible.

Sobre la base de investigaciones y pruebas de Hudson, las cosas no son lo que parecen ser. Hudson ha señalado que la opción ROM se activa durante el proceso de arranque en modo de recuperación. Durante esta etapa, Apple sigue para comprobar la firma EFI sí. Si cambia el tamaño de archivo o su contenido, fallará el cheque, o por lo menos debería tener si equipo de investigación de Hudson no había dado con un método para reemplazar clave de Apple almacenada pública RSA con uno bajo su completo control.

Por ahora, el usuario final no puede actualizar el firmware del dispositivo de una imagen estándar de Apple sin la clave RSA apropiado con. Cualquier intento no pasa la autenticación. Tener este nivel básico de acceso al sistema, sería muy fácil para un atacante para controlar todo el sistema, ingrese las pulsaciones de teclado, datos de la contraseña de registro o de sitios web de pista. Si otros dispositivos Thunderbolt están conectados a una máquina comprometida, entonces el bootkit podría ser fácilmente transmitida a ellos.

¿Podrían los ataques ‘de limpieza’ œevil ser considerados vectores válidos?

El único rayo de sol es que este tipo de ataque requiere acceso físico al sistema, aunque sea por un breve instante. Por lo general, esto es sólo un ejercicio teórico, sino, Thunderstrike es diferente. Lo primero es que este ataque funciona rápido. Lo único que el atacante tiene que hacer es simplemente conectar el dispositivo Thunderbolt, mantenga pulsado el botón de encendido durante unos segundos y se hace. Después de esto, se Thunderstrike autoinstalación y auto-ejecutar en cuestión de minutos. El observador ordinario sólo verá que el ciclo de arranque tarda un poco más.

La idea detrás de este ataque “criada œevil ‘se basa en el concepto de alguien que tiene acceso al sistema, ya que está encerrado en una habitación de hotel o seguro. Esto es posible hacerlo incluso en conferencias, cuando las personas dejen sus computadoras portátiles sin vigilancia para usar el baño.

Lo más preocupante es que uno de los informes de fugas de Edward Snowden. Le da los detalles de cómo la NSA intercepta el hardware de Dell o HP en el camino con el fin de rootkit, entonces volver a empaquetar como no pasó nada. Aunque estamos seguros de tales tácticas suceden, es seguro asumir que hazañas como Thunderstrike podrían ser tan valioso como el oro a las agencias de inteligencia nacionales del mundo.

Respuesta de Apple a esto es un parche que negar ROM opcional para cargar durante las actualizaciones de firmware. No se sabe cuándo se descubrió una solución verdadera y completa.