Uważaj co podłączasz do swojego MacBooka, możesz trafić na bootkit Strona główna Aktualności08.01.2015 16:52 Udostępnij: O autorze Anna Rymsza @Xyrcon Aby przejąć kontrolę nad Makiem, wystarczy na chwilę podłączyć do niego urządzenie – na przykład niewinnie wyglądający adapter Thunderbolt-Ethernet. Atak tego typu, nazwany Thunderstrike, został zaprezentowany pod koniec grudnia i wszystko wskazuje na to, że niektóre Maki jeszcze nie zostały przed nim zabezpieczone. Dziwi to tym bardziej, że nie jest to pierwszy atak, wykorzystujący thunderboltowe peryferia. Atak opracował znany w środowisku Trammell Hudson. Thunderstrike wykorzystuje starą koncepcję Option ROM-u, czyli ładowania oprogramowania urządzenia zewnętrznego przez firmware urządzenia, do którego jest podłączone – tym przypadku chodzi o ładowanie oprogramowania z adaptera przez EFI Maca. Szkodliwy firmware adaptera po załadowaniu podmienia klucze RSA w EFI Maca i w ten sposób umożliwia instalację kolejnych niechcianych programów oraz blokuje próby ich usunięcia. Exploit jest uruchamiany podczas startu komputera i nadpisuje klucze RSA korzystając ze standardowych metod aktualizacji Apple'a. Po zakończeniu tego procesu, można wykorzystać narzędzia producenta i „weflaszować” co tylko będziemy chcieli. Ponieważ to atakujący kontroluje klucze RSA, oficjalnie niemożliwe jest programowe usunięcie wgranego oprogramowania. Niestety flaszowane oprogramowanie jest sprawdzane tylko raz – podczas aktualizacji. Po zapisaniu nie są już sprawdzane. Thunderstrike jest trudny do wykrycia, gdyż może ukryć się choćby w SMM (System Management Mode), a ponadto żadne oprogramowanie zabezpieczające nie skanuje firmware'u w poszukiwaniu rootkitów. Bootkit może kontrolować i zapisywać naciśnięte przyciski, może wprowadzić tylne wejście do jądra systemu i wpływać na szyfrowanie. Nie pomoże ponowna instalacja systemu ani wymiana dysku twardego. Taki atak może znaleźć zastosowanie przede wszystkim tam, gdzie na chwilę atakujący ma fizyczny dostęp do komputera ofiary – na przykład na lotnisku lub w hotelu (evil maid). Złośliwe oprogramowanie może rozprzestrzeniać się także za pośrednictwem pożyczanego adaptera. Jednym z możliwych wektorów dla prezentowanego exploita jest też masowy podsłuch całych dostaw komputerów, na przykład eksportowanych do interesującego kraju. Hudson twierdzi, że sprawdził atak na siedmiu maszynach i przypuszcza, że można go skutecznie przeprowadzić na wszystkich MacBookach, które zostały wyposażone w złącze Thunderbolt. iMaki i Maki Mini zostały zaktualizowane, ale niektórym można przywrócić starsze oprogramowanie systemowe i nadal przeprowadzić atak. Jedynym skutecznym zabezpieczeniem jest blokada ładowania oprogramowania z urządzeń podłączonych przez Thunderbolt. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Maki dostały nową wersję systemu, atak przez Thunderbolt już im nie zagraża 28 sty 2015 Anna Rymsza Oprogramowanie 8 BadUSB na wolności: zobacz sam, jak łatwo zamienić zwykły pendrive w nośnik złośliwego kodu 5 paź 2014 Adam Golański Oprogramowanie 67 Atak na MacBooka z użyciem... adaptera Thunderbolt-Ethernet 30 lip 2012 Anna Rymsza Oprogramowanie 18 Nadchodzi USB4 – dwukrotnie szybsze od USB 3.2 i zgodne z Thunderbolt 3 4 mar Oskar Ziomek Sprzęt 88
Udostępnij: O autorze Anna Rymsza @Xyrcon Aby przejąć kontrolę nad Makiem, wystarczy na chwilę podłączyć do niego urządzenie – na przykład niewinnie wyglądający adapter Thunderbolt-Ethernet. Atak tego typu, nazwany Thunderstrike, został zaprezentowany pod koniec grudnia i wszystko wskazuje na to, że niektóre Maki jeszcze nie zostały przed nim zabezpieczone. Dziwi to tym bardziej, że nie jest to pierwszy atak, wykorzystujący thunderboltowe peryferia. Atak opracował znany w środowisku Trammell Hudson. Thunderstrike wykorzystuje starą koncepcję Option ROM-u, czyli ładowania oprogramowania urządzenia zewnętrznego przez firmware urządzenia, do którego jest podłączone – tym przypadku chodzi o ładowanie oprogramowania z adaptera przez EFI Maca. Szkodliwy firmware adaptera po załadowaniu podmienia klucze RSA w EFI Maca i w ten sposób umożliwia instalację kolejnych niechcianych programów oraz blokuje próby ich usunięcia. Exploit jest uruchamiany podczas startu komputera i nadpisuje klucze RSA korzystając ze standardowych metod aktualizacji Apple'a. Po zakończeniu tego procesu, można wykorzystać narzędzia producenta i „weflaszować” co tylko będziemy chcieli. Ponieważ to atakujący kontroluje klucze RSA, oficjalnie niemożliwe jest programowe usunięcie wgranego oprogramowania. Niestety flaszowane oprogramowanie jest sprawdzane tylko raz – podczas aktualizacji. Po zapisaniu nie są już sprawdzane. Thunderstrike jest trudny do wykrycia, gdyż może ukryć się choćby w SMM (System Management Mode), a ponadto żadne oprogramowanie zabezpieczające nie skanuje firmware'u w poszukiwaniu rootkitów. Bootkit może kontrolować i zapisywać naciśnięte przyciski, może wprowadzić tylne wejście do jądra systemu i wpływać na szyfrowanie. Nie pomoże ponowna instalacja systemu ani wymiana dysku twardego. Taki atak może znaleźć zastosowanie przede wszystkim tam, gdzie na chwilę atakujący ma fizyczny dostęp do komputera ofiary – na przykład na lotnisku lub w hotelu (evil maid). Złośliwe oprogramowanie może rozprzestrzeniać się także za pośrednictwem pożyczanego adaptera. Jednym z możliwych wektorów dla prezentowanego exploita jest też masowy podsłuch całych dostaw komputerów, na przykład eksportowanych do interesującego kraju. Hudson twierdzi, że sprawdził atak na siedmiu maszynach i przypuszcza, że można go skutecznie przeprowadzić na wszystkich MacBookach, które zostały wyposażone w złącze Thunderbolt. iMaki i Maki Mini zostały zaktualizowane, ale niektórym można przywrócić starsze oprogramowanie systemowe i nadal przeprowadzić atak. Jedynym skutecznym zabezpieczeniem jest blokada ładowania oprogramowania z urządzeń podłączonych przez Thunderbolt. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji