I ricercatori creano 'Thunderstrike 2', il primo worm firmware ad attaccare Apple Mac

Table Of Contents

• Thunderstrike 2 : Il primo attacco firmware che può diffondersi da MacBook a MacBook
• Ruolo di Thunderstrike:
• Come rilevare se un Apple Mac è stato infettato:

Thunderstrike 2 : Il primo attacco firmware che può diffondersi da MacBook a MacBook

Una nozione molto comune tra gli utenti PC è l’assunzione che “i computer Apple” e fondamentalmente il firmware Mac siano molto sicuri.

Tuttavia, quanto è vero? Per la prima volta due ricercatori hanno progettato un worm di prova di concetto che consente un attacco firmware che può diffondersi automaticamente da MacBook a MacBook anche nel caso non siano connessi in rete.

Verso la fine dello scorso anno, Trammell Hudson, un ricercatore di sicurezza con sede negli Stati Uniti e dipendente del fondo speculativo con sede a New York, Two Sigma Investments, ha progettato un exploit Thunderstrike su Apple Macs.

Per la prima volta qualcuno ha dimostrato un bootkit Mac, cioè un malware che si avvia dal momento in cui il PC viene acceso, indicando che viene avviato anche prima che il sistema operativo venga caricato sul computer. Hudson ha mostrato che questo malware rimane nascosto dagli strumenti di sicurezza perché la maggior parte degli strumenti di sicurezza non è in grado di approfondire le interiora del Mac. Il malware era una delle forme più pericolose perché concedeva all’attaccante il controllo totale del computer Mac.

La principale limitazione affrontata dall’”exploit Thunderstrike” era che richiedeva l’accesso fisico al PC target per hackerare effettivamente il computer.

Tuttavia, Hudson ha collaborato con i ricercatori di sicurezza Xeno Kovah e Corey Kallenberg, duo della fama del hacker ‘Voodoo’, per progettare i bootkit Mac che non solo possono essere consegnati da qualsiasi luogo, ma possono anche diffondersi attraverso i dispositivi Thunderbolt infetti, creando una “firmworm“.

Il trio ha progettato molti modi in cui un attaccante malintenzionato può infettare il Master Boot Record (Bootkit) e persino eseguirlo con successo. Dimostreranno questi metodi alla Black Hat Security Conference che si terrà a Las Vegas questa settimana. Il malware progettato dal trio funzionerebbe a condizione che l’attaccante abbia già il controllo root sulla macchina.

Ottenere il controllo root di un computer Mac non è un compito facile, tuttavia ritengono che con l’aiuto di un exploit di Oracle o Adobe Flash, l’attaccante possa raggiungere questo obiettivo.

Una volta che l’attaccante ha il controllo root, può sfruttare una vulnerabilità scoperta da Rafal Wojtczuk di Bromium e Corey Kallenberg della MITRE Corporation in cui “Un attaccante locale autenticato potrebbe essere in grado di bypassare il Secure Boot e/o eseguire un reflash arbitrario del firmware della piattaforma nonostante la presenza di enforcement degli aggiornamenti firmware firmati. Inoltre, l’attaccante potrebbe leggere o scrivere arbitrariamente nella regione SMRAM. Infine, l’attaccante potrebbe corrompere il firmware della piattaforma e causare l’inoperabilità del sistema.” In breve, gli attaccanti possono sbloccare il BIOS, che è una parte del firmware che si avvia non appena il PC viene acceso e gestisce il flusso di dati tra il sistema operativo del computer e l’hardware come disco rigido, mouse, tastiera, ecc.

Questa vulnerabilità, nota anche come ‘Darth Venamis’, è conosciuta dal settembre 2014, tuttavia è stata parzialmente corretta sui Mac Apple, quindi aiuta gli attaccanti a inserirsi facilmente nel firmware. I ricercatori di sicurezza, Wojtczuk e Kallenberg, sono stati i primi a mettere in luce questa vulnerabilità nel dicembre 2014. Hanno mostrato che un attaccante può sfruttare questa vulnerabilità e ‘mettere il Mac in sospensione’ e ‘risvegliarlo’ e ulteriormente, se l’attaccante malintenzionato può ‘decifrare come il sistema si risveglia’, può persino attaccare lo “script di ripresa”.

“Gli script di ripresa” riconfigurano solitamente pezzi dell’hardware che cambiano quando sono in stato di bassa potenza. Quindi si possono modificare questi script e garantire che il BIOS rimanga sbloccato quando il computer si riavvia.

Ruolo di Thunderstrike:

L’aggiunta dell’attacco Thunderstrike, sviluppato da Hudson, porterebbe alla generazione di un “firmworm”. Ora, qualsiasi macchina che è stata infettata diffonderebbe o trasferirebbe l’exploit a un dispositivo Thunderbolt che, a sua volta, quando connesso a un altro PC Apple, inizierà a eseguire il codice dannoso. Questa procedura aiuta indirettamente gli attaccanti a bypassare gli ostacoli come le interruzioni di rete e a mirare facilmente alle macchine anche nei casi in cui non sono connesse a nessuna rete.

Successivamente, Thunderstrike attacca il firmware Boot ROM.

Firmware Boot ROM: Cos’è? Quando un computer viene acceso, il primo processo a essere eseguito su qualsiasi macchina è il Boot ROM. Se il Boot ROM è sicuro, allora tutti i processi avviati dopo saranno a loro volta sicuri. Quindi il Boot ROM è uno degli strati più profondi della macchina. Tuttavia, è anche uno dei migliori posti per nascondersi perché i programmi di sicurezza non si addentrano qui, rendendo così facile per gli attaccanti nascondersi e prendere facilmente il controllo del Mac.

Una domanda che sorge qui è come si possa infettare il computer Mac a quel livello! Hudson ha utilizzato Option ROMs (OROMs) per accedere al Boot ROM del computer Mac.

Le OROMs svolgono lo stesso lavoro che le Boot ROMs fanno sui dispositivi che sono stati collegati tramite porte Thunderbolt.

Le OROMs non hanno la capacità di memorizzare e sostituire il firmware del PC; tuttavia, Hudson ha scoperto che poteva modificare i contenuti di un aggiornamento firmware su Apple Mac e quindi l’ha utilizzato per sostituire la chiave pubblica che Apple utilizza per convalidare gli aggiornamenti. Tutto ciò indica che un attaccante sarebbe in grado di installare la propria chiave nel firmware che eseguirà solo quegli aggiornamenti che sono firmati dagli attaccanti e non da Apple.

Il video sottostante mostra come quell’attacco possa saltare dalle OROMs al BIOS e poi tornare alle OROMs, in un modo pronto a infettare un altro Mac.

Kovah dice: “L’attaccante può semplicemente infettare il chip flash per iniziare. La macchina infetterà quindi qualsiasi OROM Thunderbolt con cui entra in contatto per il resto della sua vita.”

Nel mese di giugno, Apple ha sviluppato una patch per la vulnerabilità Darth Venamis che Kovah afferma non ha risolto con successo il problema. Secondo Kovah, la patch non è abbastanza efficace e gli attaccanti possono ancora infiltrarsi nel System Management Mode (SMM), che è quella parte del firmware in grado di leggere tutto ciò che passa attraverso la memoria.

Quando Forbes ha richiesto un commento, Apple non ha risposto.

Con questo worm firmware, ora, Apple e Microsoft hanno dimostrato di avere almeno qualcosa in comune e cosa c’è di meglio di una vulnerabilità!

Recentemente, Kovah e Kallenberg hanno scoperto molte vulnerabilità a livello firmware, queste non solo colpiscono i Mac ma hanno anche la capacità di influenzare altri computer che utilizzano il framework Unified Extensible Firmware Interface (UEFI) o anche il suo predecessore, l’Extensible Firmware Interface (EFI). Kovah ha anche menzionato che di solito EFI e UEFI derivano dalla stessa implementazione di riferimento e condividono anche vulnerabilità simili.

Quindi possiamo dire che i componenti di Thunderstrike 2 si basano fondamentalmente sulle vulnerabilità che sono state divulgate in precedenza.

Secondo Intel, una delle migliori cure per risolvere la vulnerabilità sarebbe quella di impiegare firme crittografiche sulle OROMs che garantiranno che il ROM non esegua alcun comando a meno che non abbia una firma valida, bloccando così la possibilità che un attaccante prenda il controllo del boot ROM. Un altro rimedio è la SMM lock box, che aiuta a bloccare gli importanti ‘script di ripresa’ lontano dal firmware. Entrambi questi possono proteggere un PC da Thunderstrike 2.

Sembra che i produttori di Dell e HP abbiano già abilitato queste tecnologie di mitigazione. Tuttavia, Apple ha in qualche modo ignorato queste soluzioni fornite da Intel.

Kovah, d’altra parte, afferma che anche se Apple avesse implementato questi controlli, i computer Mac sarebbero ancora suscettibili ad attacchi da malware malevoli con l’aiuto di un altro bug noto come SpeedRacer che è ancora non corretto. Un attaccante può utilizzare il bug SpeedRacer per bloccare il Mac corrompendo i dati o bypassando le protezioni.

Come rilevare se un Apple Mac è stato infettato:

Per rilevare se la macchina è stata infettata dagli attacchi Thunderstrike 2, gli utenti devono ottenere ‘forense firmware’. Sfortunatamente, al momento questo non è offerto all’utente medio.

I ricercatori di sicurezza hanno sviluppato alcuni controllori OROM che sono disponibili gratuitamente; tuttavia, sarebbero utili solo nel caso in cui l’utente abbia conoscenze di base sulla sicurezza a livello chip e, in caso contrario, gli utenti dovrebbero imparare questo e proteggersi dagli attacchi.

In breve, Kovah conclude che Apple è a conoscenza delle vulnerabilità e in un certo senso è responsabile di queste vulnerabilità. Ritiene che in qualche modo Apple non stia utilizzando le protezioni e i passi che dovrebbe prendere e fornire sicurezza ai suoi stimati utenti che credono che Apple sia il computer più sicuro!