Investigadores crean 'Thunderstrike 2', el primer gusano de firmware que ataca a Apple Mac

Table Of Contents

• Thunderstrike 2 : El primer ataque de firmware que puede propagarse de MacBook a MacBook
• Rol de Thunderstrike:
• Cómo detectar si un Apple Mac ha sido infectado:

Thunderstrike 2 : El primer ataque de firmware que puede propagarse de MacBook a MacBook

Una noción muy común entre los usuarios de PC es la suposición de que “los ordenadores Apple” y, básicamente, el firmware de Mac están mucho más seguros.

Sin embargo, ¿hasta qué punto es esto cierto? Por primera vez, dos investigadores han diseñado un gusano de prueba de concepto que permite un ataque de firmware que puede propagarse automáticamente de MacBook a MacBook, incluso si no están conectados a la red.

Fue hacia finales del año pasado que Trammell Hudson, un investigador de seguridad con sede en EE. UU. y empleado del fondo de cobertura Two Sigma Investments, con sede en la ciudad de Nueva York, diseñó un exploit Thunderstrike en Apple Macs.

Por primera vez, alguien había demostrado un bootkit de Mac, es decir, un malware que se lanza desde el momento en que se enciende el PC, indicando que se lanza incluso antes de que el sistema operativo se inicie en la computadora. Hudson mostró que este malware permanece oculto de las herramientas de seguridad porque la mayoría de las herramientas de seguridad no son capaces de profundizar en las entrañas de Mac. El malware era una de las formas más peligrosas porque otorgaba al atacante control total sobre la computadora Mac.

La principal limitación que enfrentaba el “exploit Thunderstrike” era que requería acceso físico a la PC objetivo para realmente hackear la computadora.

Sin embargo, Hudson colaboró con los investigadores de seguridad Xeno Kovah y Corey Kallenberg, del famoso hacker ‘Voodoo’, para diseñar los bootkits de Mac que no solo pueden ser entregados desde cualquier lugar, sino que también podrían propagarse a través de los dispositivos Thunderbolt infectados, lo que crea una “firmworm”.

El trío ha diseñado muchas formas en las que un atacante malicioso puede infectar el Master Boot Record (Bootkit) e incluso ejecutarlo con éxito. Ellos demostrarían estos métodos en la Conferencia de Seguridad Black Hat que se celebraría en Las Vegas esta semana. El malware diseñado por el trío funcionaría bajo las condiciones de suponer que el atacante ya tiene control de root sobre la máquina.

Obtener control de root de una computadora Mac no es una tarea fácil, sin embargo, sienten que con la ayuda de un exploit de Oracle o Adobe Flash, el atacante puede lograr esta tarea.

Una vez que el atacante tiene el control de root, puede explotar una vulnerabilidad descubierta por Rafal Wojtczuk de Bromium y Corey Kallenberg de The MITRE Corporation, donde “Un atacante local autenticado puede ser capaz de eludir Secure Boot y/o realizar un reflash arbitrario del firmware de la plataforma a pesar de la presencia de la aplicación de actualización de firmware firmada. Además, el atacante podría leer o escribir arbitrariamente en la región SMRAM. Por último, el atacante podría corromper el firmware de la plataforma y hacer que el sistema se vuelva inoperable.” En resumen, los atacantes pueden desbloquear el BIOS, que es una parte del firmware que se ejecuta tan pronto como se enciende el PC y gestiona el flujo de datos entre el sistema operativo de la computadora y su hardware, como el disco duro, el ratón, el teclado, etc.

Esta vulnerabilidad, también conocida como ‘Darth Venamis’, se conoce desde septiembre de 2014, sin embargo, ha sido parcialmente parcheada en Apple Macs, lo que ayuda a los atacantes a infiltrarse en el firmware con facilidad. Los investigadores de seguridad, Wojtczuk y Kallenberg, fueron los primeros en arrojar luz sobre esta vulnerabilidad en diciembre de 2014. Mostraron que un atacante puede explotar esta vulnerabilidad y ‘poner a Mac en suspensión’ y ‘despertarlo’ y, además, si el atacante malicioso puede ‘descifrar cómo se despierta el sistema’, incluso pueden atacar el “script de reanudación”.

“Los scripts de reanudación” suelen reconfigurar piezas del hardware que cambian cuando están en estado de bajo consumo. Así, uno puede modificar estos scripts y asegurarse de que el BIOS quede desbloqueado cuando la computadora se reinicie.

Rol de Thunderstrike:

La adición del ataque Thunderstrike, desarrollado por Hudson, llevaría a la generación de un “firmworm”. Ahora, cualquier máquina que haya sido infectada propagará o transferirá el exploit a un dispositivo Thunderbolt que, a su vez, al conectarse a otra PC Apple comenzará a ejecutar el código malicioso. Este procedimiento ayuda indirectamente a los atacantes a eludir obstáculos como los espacios aéreos y a dirigirse fácilmente a las máquinas, incluso en casos donde no están conectadas a ninguna red.

A continuación, Thunderstrike ataca el firmware del Boot ROM.

Firmware del Boot ROM: ¿Qué es esto? Cuando se enciende una computadora, el primer proceso que se ejecuta en cualquier máquina es el Boot ROM. Si el Boot ROM es seguro, entonces todos los procesos lanzados después de esto también serán seguros. Así que el Boot ROM es una de las capas más profundas de la máquina. Sin embargo, también es uno de los mejores lugares para ocultarse porque los programas de seguridad no profundizan aquí, lo que facilita a los atacantes ocultarse y tomar el control de la Mac.

Una pregunta que surge aquí es ¿cómo puede uno infectar la computadora Mac a ese nivel! Hudson utilizó Option ROMs (OROMs) para acceder al Boot ROM de la computadora Mac.

Los OROMs realizan la misma función que los Boot ROMs en los dispositivos que han sido conectados a través de puertos Thunderbolt.

Los OROMs carecen de la capacidad para almacenar y reemplazar el firmware de la PC; sin embargo, Hudson descubrió que podía modificar el contenido de una actualización de firmware en el Apple Mac y, por lo tanto, lo utilizó con el propósito de cambiar la clave pública que Apple usa para validar las actualizaciones. Todo esto indica que un atacante podría instalar su propia clave en el firmware que ejecutaría solo aquellas actualizaciones que están firmadas por los atacantes y no por Apple.

El siguiente video muestra cómo ese ataque puede saltar de OROMs a la BIOS y luego volver a OROMs, de una manera que se prepara para infectar otra Mac.

Kovah dice: “El atacante puede simplemente infectar el chip de flash para comenzar. La máquina luego infectará cualquier OROM Thunderbolt con el que entre en contacto durante el resto de su vida.”

En el mes de junio, Apple desarrolló un parche para la vulnerabilidad Darth Venamis, que Kovah dice que no ha solucionado el problema con éxito. Según Kovah, el parche no es lo suficientemente efectivo y los atacantes aún pueden infiltrarse en el Modo de Gestión del Sistema (SMM), que es esa parte del firmware que puede leer todo lo que pasa a través de la memoria.

Cuando Forbes solicitó un comentario, Apple no respondió.

Con este gusano de firmware, ahora, Apple y Microsoft han demostrado que ambos tienen al menos algo en común y ¡qué mejor que una vulnerabilidad!

Recientemente, Kovah y Kallenberg han descubierto muchas vulnerabilidades a nivel de firmware, que no solo afectan a los Macs, sino que también tienen la capacidad de afectar a otras computadoras que utilizan el marco de Interfaz de Firmware Extensible Unificada (UEFI) o incluso su predecesor, la Interfaz de Firmware Extensible (EFI). Kovah también mencionó que generalmente EFI y UEFI se derivan de la misma implementación de referencia y también comparten vulnerabilidades similares.

Así que podemos decir que los componentes de Thunderstrike 2 se basan básicamente en las vulnerabilidades que se divulgaron anteriormente.

Según Intel, una de las mejores soluciones para arreglar la vulnerabilidad sería emplear firmas criptográficas en los OROMs, lo que asegurará que el ROM no ejecute ningún comando a menos que tenga una firma válida, eliminando así la posibilidad de que un atacante tome el control del boot ROM. Otro remedio es la caja de bloqueo SMM, que ayuda a bloquear los importantes ‘scripts de reanudación’ del firmware. Ambos pueden proteger una PC del Thunderstrike 2.

Parece que los fabricantes de Dell y HP ya han habilitado estas tecnologías de mitigación. Sin embargo, Apple ha ignorado de alguna manera estas soluciones proporcionadas por Intel.

Kovah, por otro lado, afirma que incluso si Apple hubiera implementado estos controles, las computadoras Mac seguirían siendo susceptibles a ataques de malware malicioso con la ayuda de otro error conocido como SpeedRacer, que aún no ha sido parcheado. Un atacante puede usar el error SpeedRacer para bloquear la Mac corrompiendo datos o eludiendo las protecciones.

Cómo detectar si un Apple Mac ha sido infectado:

Para detectar si la máquina ha sido infectada por ataques Thunderstrike 2, los usuarios necesitan obtener ‘forense de firmware’. Lamentablemente, en la actualidad esto no se ofrece al usuario promedio.

Los investigadores de seguridad han desarrollado algunos verificadores de OROM que están disponibles de forma gratuita; sin embargo, solo serían útiles en caso de que el usuario tenga conocimiento de cierta seguridad a nivel de chip básico y, si no, los usuarios tendrían que aprender esto y protegerse de los ataques.

En resumen, Kovah concluye que Apple es consciente de las vulnerabilidades y, de alguna manera, es responsable de estas vulnerabilidades. Él siente que de alguna manera Apple no está utilizando las protecciones y pasos que debería estar tomando y proporcionando seguridad a sus estimados usuarios que creen que Apple es la computadora más segura!