Σύμφωνα με μια πρόσφατη παρουσίαση ασφαλείας, επιτιθέμενοι μπόρεσαν να μολύνουν συστήματα Macintosh με ένα ιδιαίτερο είδος κακόβουλου λογισμικού χρησιμοποιώντας τη θύρα Thunderbolt του υπολογιστή.
Η επίθεση, που ονομάστηκε Thunderstrike, και παρουσιάστηκε από τον ερευνητή ασφάλειας Trammell Hudson στο Chaos Communications Congress στη Γερμανία. Ο Hudson είναι αρκετά γνωστός στην κοινότητα ασφαλείας, ιδιαίτερα για την αντίστροφη μηχανική του σε διάφορες συσκευές και συστήματα.
Παρακάτω μπορείτε να παρακολουθήσετε ολόκληρη την παρουσίαση του Hudson ή και να διαβάσετε μια σχολιασμένη έκδοση της ομιλίας του, αλλά η ουσία είναι ότι η επίθεση εκμεταλλεύεται ένα ελάττωμα της θύρας Thunderbolt που επιτρέπει την εισαγωγή προσαρμοσμένου κώδικα – όπως π.χ. ένα bootkit – στο σύστημα χρησιμοποιώντας τη θύρα.
Η ευπάθεια Thunderstrike εκμεταλλεύεται το Thunderbolt Option ROM, που περιγράφηκε για πρώτη φορά το 2012. Το PoC του Hudson όμως προχοράει αρκετά βήματα παρακάτω (απόπειρες εκμετάλλευσης του ελαττώματος στο παρελθόν για την εγγραφή νέου κώδικα στην ROM κατά την εκκίνηση απογοήτευσαν πολλούς ερευνητές).
Τελικά, το PoC του Hudson δείχνει πως ένας εισβολέας θα μπορούσε να χρησιμοποιήσει τη θύρα Thunderbolt για να εγκαταστήσει ένα προσαρμοσμένο bootkit. Αυτό bootkit θα μπορούσε να αναπαραχθεί και σε οποιαδήποτε άλλη συνδεδεμένη μέσω Thunderbolt συσκευή, πράγμα που σημαίνει ότι θα μπορούσε να εξαπλωθεί σε ολόκληρα δίκτυα.
Το τρομακτικό είναι ότι, επειδή αυτός ο κώδικας χρησιμοποιεί δικό του ξεχωριστό ROM, η επίθεση δεν μπορεί να ανακοπεί με την εκ νέου εγκατάσταση του OS X ή την εναλλαγή του σκληρού δίσκου.
Ο Hudson έδειξε επίσης ότι μπορούσε να αντικαταστήσει τα κλειδιά κρυπτογράφησης που χρησιμοποιεί η Apple χρησιμοποιεί για να υπογράψει με νέο κλειδί το firmware, κάτι το οποίο αποτρέπει μελλοντικές ενημερώσεις του συστήματος.
Τα καλά νέα
Το project του Hudson είναι εντυπωσιακό αλλά και τρομακτικό για τους ιδιοκτήτες συσκευών της Apple, αν και δεν χρειάζεται να φοβούνται προς το παρόν το Thunderstrike. Ο Hudson αναφέρει, ότι δεν κυκλοφορούν Mac bootkits firmware, και ότι υπάρχουν μόνο ως απόδειξη της έννοιας (PoC).
Η Apple έχει ήδη επιδιορθώσει μέρος της ευπάθειας στα πιο πρόσφατα Mac mini και στο iMac με 5K οθόνη Retina.
Θα πρέπει επίσης να σημειωθεί ότι αυτό το είδος της επίθεσης απαιτεί φυσική πρόσβαση σε ένα μηχάνημα. Δεν μπορείτε να κατεβάσετε το κακόβουλο λογισμικό μέσω άλλου λογισμικού.
https://www.youtube.com/watch?v=5BrdX7VdOr0