Исследователи создали червя, который может заражать прошивку Mac

9149f0db10e7461c997517daaf220ff5.jpg

Несколько месяцев назад исследователь Траммел Хадсон (Trammel Hudson) создал эксплойт под названием Thunderstrike, который мог инфицировать компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывался на них, таким образом под угрозой оказывались и другие машины.

Apple исправила уязвимость в OS X версии 10.10.2, однако, как сообщает издание Wired, Хадсон и еще один ИБ-исследователь Ксено Кова (Xeno Kovah) разработали новую версию эксплойта и опубликовали буткит и червя, заражающего компьютеры Mac.

Как и предшественник, Thunderstrike 2 распространяется главным образом через зараженные Thunderbolt-устройства. Однако в отличие от первой версии червя, теперь для проведения атаки злоумышленнику не нужен физический доступ к компьютеру.

По словам исследователей, вредоносный софт может попасть на компьютер с помощью «фишингового email-сообщения или специального сайта». После попадания на компьютер, червь заражает устройства, которые используют для подключения Option ROM (например, адаптер Thunderbolt и Gigabit Ethernet, внешний SSD или даже RAID-контроллер). После того, как червь записан на устройство, он может атаковать любой Mac, к которому его подключат.

Главная опасность зловредов, действующих на уровне прошивки, заключается в том, что в настоящий момент антивирусный софт и другие инструменты для обеспечения безопасности фокусируются на работе с RAM и файлами, хранящимися на компьютере. Поэтому червя, вроде Thunderstrike 2 крайне сложно обнаружить. При этом, специфика атаки, делает возможным ее осуществление даже для устройств, не подключенных к интернету, говорит Кова:

Допустим, у вас есть завод по производству центрифуг для переработки урана, который, само собой, не подключен ни к каким сетям. Но люди приносят свои ноутбуки или внешние накопители и, возможно, подключают их к внутренней сети по Ethernet, чтобы перебросить данные. В этих SSD есть Option ROM, который потенциально может быть заражен. Если мы говорим о хорошо защищенной сети, то там вряд ли используется WiFi, все подключено через Ethernet-адаптеры. В них тоже есть Option ROM, прошивка которых может быть заражена.


Исследователь вспоминает знаменитого червя Stuxnet, который атаковал иранские ядерные объекты и распространялся с помощью USB-флешек (мы публиковали исследование уязвимостей промышленных систем управления). В тот раз атакующие использовали уязвимости нулевого дня в Windows, что оставляло специалистам пути для отслеживания атаки. «Все знают, куда нужно смотреть в таких случаях», — говорит Кова. Но червь в прошивке — это совем другое дело, потому что сама прошивка контролирует то, что видит в ней операционная система (а значит, червь может перехватывать соответствующие запросы и выдавать в ответ «чистые» копии кода).

Производители прошивок могли бы повысить безопасность своей продукции, если бы они начали криптографически подписывать софт и его обновления, кроме того, устройства, работающие с помощью этой прошивки, должны уметь проверять эти подписи. Кроме того, не помешал бы и «переключатель» чтения/записи, чтобы предотвратить несанкционированную перезапись прошивки. Впрочем, это поможет защититься от хакеров-одиночек, но не от специалистов, работающих на могущественные спецслужбы (которые могут просто похитить мастер-ключ производителя софта и подписать свой вредоносный код с его помощью). Ранее в прессу попадала информация о том, что активную работу по взлому различных прошивок ведет Агентство по национальной безопасности США.

Исследователи предлагают производителям добавить возможность проверки контрольной суммы, которая показывала бы, менялся ли софт после установки на компьютер. Однако вендоры вряд ли будут заниматься чем-то подобным, поскольку подобные нововведения потребуют значительных изменений в архитектуре систем, а пользователи в данный момент еще не задумываются о том, что нужно думать и о безопасности прошивок.

В 2014 году Кова и его коллега по компании Legbacore Кори Калленберг обнаружили целый ряд уязвимостей прошивок, которым подвержены до 80% всех PC (включая продукцию Dell, Lenovo, Samsung и HP). Впоследствии исследователи выяснили, что аналогичные атаки можно осуществить и на компьютеры Mac.

© Habrahabr.ru