Pesquisadores criam 'Thunderstrike 2', o primeiro worm de firmware a atacar Apple Mac

Table Of Contents

• Thunderstrike 2 : O primeiro ataque de firmware que pode se espalhar de MacBook para MacBook
• Papel do Thunderstrike:
• Como detectar se o Apple Mac foi infectado:

Thunderstrike 2 : O primeiro ataque de firmware que pode se espalhar de MacBook para MacBook

Uma noção muito comum entre os usuários de PC é a suposição de que “computadores Apple” e basicamente o firmware do Mac são muito seguros.

No entanto, quão verdadeiro é isso? Pela primeira vez, dois pesquisadores projetaram um worm de prova de conceito que permite um ataque de firmware que pode se espalhar automaticamente de MacBook para MacBook, mesmo que não estejam conectados à rede.

Foi no final do ano passado que Trammell Hudson, um pesquisador de segurança baseado nos EUA e funcionário do fundo de hedge Two Sigma Investments, com sede na cidade de Nova York, projetou um exploit Thunderstrike em Apple Macs.

Pela primeira vez, alguém demonstrou um bootkit para Mac, ou seja, um malware que é iniciado no momento em que o PC é ligado, indicando que é lançado mesmo antes do sistema operacional ser inicializado no computador. Hudson mostrou que esse malware permanece oculto das ferramentas de segurança porque a maioria das ferramentas de segurança não é capaz de penetrar nas entranhas do Mac. O malware era uma das formas mais perigosas porque concedia ao atacante controle total do computador Mac.

A principal limitação enfrentada pelo “exploit Thunderstrike” era que ele exigia acesso físico ao PC alvo para realmente hackear o computador.

No entanto, Hudson colaborou com os pesquisadores de segurança Xeno Kovah e Corey Kallenberg, do famoso hacker ‘Voodoo’, para projetar os bootkits para Mac que não apenas podem ser entregues de qualquer lugar, mas também podem se espalhar por dispositivos Thunderbolt infectados, criando uma “firmworm”.

O trio projetou várias maneiras pelas quais um atacante malicioso pode infectar o Master Boot Record (Bootkit) e até mesmo executá-lo com sucesso. Eles demonstrariam esses métodos na Black Hat Security Conference que seria realizada em Las Vegas esta semana. O malware projetado pelo trio funcionaria sob as condições de que o atacante já tem controle root sobre a máquina.

Obter controle root de um computador Mac não é uma tarefa fácil, no entanto, eles acreditam que com a ajuda de um exploit da Oracle ou Adobe Flash, o atacante pode alcançar essa tarefa.

Uma vez que o atacante tenha o controle root, ele pode explorar uma vulnerabilidade descoberta por Rafal Wojtczuk da Bromium e Corey Kallenberg da The MITRE Corporation, onde “Um atacante local autenticado pode ser capaz de contornar o Secure Boot e/ou realizar um reflash arbitrário do firmware da plataforma, apesar da presença de enforcement de atualização de firmware assinada. Além disso, o atacante poderia ler ou escrever arbitrariamente na região SMRAM. Por fim, o atacante poderia corromper o firmware da plataforma e fazer com que o sistema se tornasse inoperável.” Em resumo, os atacantes podem desbloquear o BIOS, que é uma parte do firmware que é executada assim que o PC é ligado e gerencia o fluxo de dados entre o sistema operacional do computador e seu hardware, como disco rígido, mouse, teclado, etc.

Essa vulnerabilidade, também referida como ‘Darth Venamis’, é conhecida desde setembro de 2014, no entanto, foi parcialmente corrigida nos Apple Macs, ajudando assim os atacantes a se infiltrar no firmware com facilidade. Os pesquisadores de segurança, Wojtczuk e Kallenberg, foram os primeiros a destacar essa vulnerabilidade em dezembro de 2014. Eles mostraram que o atacante pode explorar essa vulnerabilidade e ‘colocar o Mac para dormir’ e ‘acordá-lo’ e, além disso, se o atacante malicioso puder ‘decifrar como o sistema acorda’, ele pode até atacar o “script de retomar”.

“Scripts de retomar” geralmente reconfiguram partes do hardware que mudam quando estão em estado de baixo consumo. Assim, pode-se modificar esses scripts e garantir que o BIOS permaneça desbloqueado quando o computador reiniciar.

Papel do Thunderstrike:

A adição do ataque Thunderstrike, desenvolvido por Hudson, levaria à geração de um “firmworm”. Agora, qualquer máquina que tenha sido infectada espalharia ou transferiria o exploit para um dispositivo Thunderbolt que, por sua vez, ao ser conectado a outro PC Apple, começaria a executar o código malicioso. Esse procedimento ajuda indiretamente os atacantes a contornar obstáculos como lacunas de ar e a direcionar facilmente as máquinas, mesmo em casos onde não estão conectadas a nenhuma rede.

Em seguida, o Thunderstrike ataca o firmware do Boot ROM.

Firmware do Boot ROM: O que é isso? Quando um computador é ligado, o primeiro processo a ser executado em qualquer máquina é o Boot ROM. Se o Boot ROM for seguro, então todos os processos lançados depois disso também serão seguros. Portanto, o Boot ROM é uma das camadas mais profundas da máquina. No entanto, também é um dos melhores lugares para se esconder, pois os programas de segurança não penetram aqui, facilitando para os atacantes se esconderem e tomarem controle do Mac.

Uma pergunta que surge aqui é como alguém pode possivelmente infectar o computador Mac nesse nível! Hudson usou Option ROMs (OROMs) para ter acesso ao Boot ROM do computador Mac.

Os OROMs fazem o mesmo trabalho que os Boot ROMs fazem nos dispositivos que foram conectados via portas Thunderbolt.

Os OROMs não têm a capacidade de armazenar e substituir o firmware do PC; no entanto, Hudson descobriu que poderia modificar o conteúdo de uma atualização de firmware no Apple Mac e, assim, usou isso para trocar a chave pública que a Apple usa para validar as atualizações. Tudo isso indica que um atacante seria capaz de instalar sua própria chave no firmware, que executaria apenas aquelas atualizações que são assinadas pelos atacantes e não pela Apple.

O vídeo abaixo exibe como esse ataque pode pular de OROMs para o BIOS e depois voltar para OROMs, de uma forma que se prepara para infectar outro Mac.

Kovah diz: “O atacante pode simplesmente infectar o chip flash para começar. A máquina então infectará qualquer OROM Thunderbolt com o qual entrar em contato pelo resto de sua vida.”

No mês de junho, a Apple desenvolveu um patch para a vulnerabilidade Darth Venamis, que Kovah diz não ter corrigido com sucesso o problema. Segundo Kovah, o patch não é eficaz o suficiente e os atacantes ainda podem invadir o Modo de Gerenciamento de Sistema (SMM), que é a parte do firmware que pode ler tudo o que passa pela memória.

Quando a Forbes solicitou um comentário, a Apple não respondeu.

Com esse worm de firmware, agora, Apple e Microsoft mostraram que ambas têm pelo menos algo em comum e o que poderia ser melhor do que uma vulnerabilidade!

Recentemente, Kovah e Kallenberg descobriram muitas vulnerabilidades em nível de firmware, que não apenas afetam os Macs, mas também têm a capacidade de afetar outros computadores que usam a interface de firmware extensível unificada (UEFI) ou mesmo seu predecessor, a interface de firmware extensível (EFI). Kovah também mencionou que geralmente EFI e UEFI são derivados da mesma implementação de referência e também compartilham vulnerabilidades semelhantes.

Assim, podemos dizer que os componentes do Thunderstrike 2 são basicamente baseados nas vulnerabilidades que foram divulgadas anteriormente.

De acordo com a Intel, uma das melhores soluções para corrigir a vulnerabilidade seria empregar assinaturas criptográficas nos OROMs, o que garantirá que o ROM não execute nenhum comando a menos que tenha uma assinatura válida, eliminando assim a possibilidade de um atacante assumir o controle do boot ROM. Outro remédio é a caixa de bloqueio SMM, que ajuda a trancar os importantes ‘scripts de retomar’ longe do firmware. Ambos podem proteger um PC do Thunderstrike 2.

Parece que os fabricantes da Dell e HP já habilitaram essas tecnologias de mitigação. No entanto, a Apple de alguma forma ignorou essas soluções fornecidas pela Intel.

Kovah, por outro lado, afirma que mesmo que a Apple tivesse implementado esses controles, os computadores Mac ainda seriam suscetíveis a ataques de malware malicioso com a ajuda de outro bug conhecido como SpeedRacer, que ainda não foi corrigido. Um atacante pode usar o bug SpeedRacer para danificar o Mac corrompendo dados ou contornando as proteções.

Como detectar se o Apple Mac foi infectado:

Para detectar se a máquina foi infectada por ataques Thunderstrike 2, os usuários precisam obter ‘forense de firmware’. Infelizmente, no momento, isso não é oferecido ao usuário médio.

Pesquisadores de segurança desenvolveram alguns verificadores de OROM que estão disponíveis gratuitamente; no entanto, isso seria útil apenas se o usuário tiver conhecimento de certas seguranças básicas em nível de chip e, caso contrário, os usuários teriam que aprender isso e se proteger contra os ataques.

Em resumo, Kovah conclui que a Apple está ciente das vulnerabilidades e, de certa forma, é responsável por essas vulnerabilidades. Ele acredita que, de alguma forma, a Apple não está usando as proteções e medidas que deveria estar tomando e fornecendo segurança a seus estimados usuários que acreditam que a Apple é o computador mais seguro!