31C3: Thunderstrike może zagrozić Macbookom

Post

31C3: Thunderstrike może zagrozić Macbookom

Badacz bezpieczeństwa Trammel Hudson pokazuje dziś wieczorem podczas 31. Chaos Computer Congress (31C3) w Hamburgu dowód koncepcji, za pomocą którego złośliwe oprogramowanie może zostać przemycone do Macbooka. W tym celu Hudson wykorzystuje znaną od dwóch lat lukę w architekturze oprogramowania sprzętowego komputerów Apple. Za pośrednictwem Extensible Firmware Interface (EFI) używa przygotowanej rozruchowej pamięci ROM Thunderbolt do infiltracji Macbooka za pomocą swojego złośliwego oprogramowania o nazwie „Thunderstrike”. W przeciwieństwie do luki pokazanej po raz pierwszy dwa lata temu, szkodliwe oprogramowanie nie jest przechowywane na dysku twardym, z którego można je po prostu usunąć, ale bezpośrednio w oprogramowaniu sprzętowym komputera. Według Hudsona nie da się go łatwo usunąć.

Dostęp do systemu jest możliwy, ponieważ sprzęt i oprogramowanie, które zawiera, nie są sprawdzane we wczesnej fazie procesu rozruchu. Ten nowy typ zestawu rozruchowego może wykorzystywać tryb zarządzania systemem (SMM), wirtualizację i inne techniki, aby nie zostać wykrytym. Ponieważ złośliwy kod znajduje się bezpośrednio w oprogramowaniu układowym komputera, może przetrwać ponowną instalację systemu operacyjnego lub wymianę dysku twardego. Oryginalne oprogramowanie układowe można przywrócić tylko za pomocą „sprzętu w programatorze systemowym”.

„Możliwe jest użycie opcjonalnej pamięci ROM Thunderbolt, aby ominąć weryfikację podpisu kryptograficznego w procedurach aktualizacji oprogramowania układowego EFI firmy Apple. Dzięki temu haker z fizycznym dostępem do systemu może zapisać nieautoryzowany kod w pamięci Flash ROM SPI na płycie głównej. W tym samym czasie powstaje nowa klasa zestawów rozruchowych oprogramowania układowego dla systemów Macbook. Hudson chce również pokazać, w jaki sposób Thunderstrike wymienia publiczny klucz RSA firmy Apple w pamięci ROM i zapobiega jego wymianie.

Macbook zainfekowany przez Thunderstrike infekuje również inne urządzenia Thunderbolt, gdy tylko zostaną one podłączone do komputera. Jest to możliwe, ponieważ oprogramowanie układowe tych urządzeń można zapisać podczas procesu rozruchu. Hudson chce również pokazać, jak można załatać lukę. Wskazuje jednak, że główny problem leży w ogólnie niepewnym procesie rozruchu bez sprawdzania sprzętu.

Badacz bezpieczeństwa, Trammel Hudson, pokazuje dziś wieczorem dowód koncepcji na 31. Kongresie Komputerów Chaos (31C3) w Hamburgu, za pomocą którego złośliwe oprogramowanie może zostać przemycone do Macbooka (Zdj.: Trammel Hudson).

[Z materiałem od Martina Schindlera, silicon.de]

Tags
Author
Karolina Kanas

Leave a Reply