Исследователи создали 'Thunderstrike 2' - первый червь прошивки, атакующий Apple Mac

Table Of Contents

• Thunderstrike 2 : Первый атака прошивки, которая может распространяться от MacBook к MacBook
• Роль Thunderstrike:
• Как определить, был ли Apple Mac заражен:

Thunderstrike 2 : Первый атака прошивки, которая может распространяться от MacBook к MacBook

Очень распространенное мнение среди пользователей ПК - это предположение, что “компьютеры Apple” и, в основном, прошивка Mac, гораздо более защищены.

Однако, насколько это правда? Впервые два исследователя разработали червя Proof-of-concept, который позволяет атаке прошивки автоматически распространяться от MacBook к MacBook, даже если они не подключены к сети.

Это произошло в конце прошлого года, когда Траммелл Хадсон, исследователь безопасности из США и сотрудник хедж-фонда Two Sigma Investments, расположенного в Нью-Йорке, разработал эксплойт Thunderstrike для Apple Macs.

Впервые кто-то продемонстрировал Mac bootkit, т.е. вредоносное ПО, которое запускается с момента включения ПК, указывая на то, что оно запускается даже до загрузки операционной системы на компьютере. Хадсон показал, что это вредоносное ПО остается скрытым от средств безопасности, потому что большинство средств безопасности не способны углубляться в внутренности Mac. Это вредоносное ПО было одной из опасных форм, поскольку оно предоставляло злоумышленнику полный контроль над компьютером Mac.

Основное ограничение, с которым столкнулся “эксплойт Thunderstrike”, заключалось в том, что он требовал физического доступа к целевому ПК для фактического взлома компьютера.

Тем не менее, Хадсон сотрудничал с исследователями безопасности Ксено Ковахом и Кори Калленбергом, известными как ‘Voodoo’ хакеры, чтобы разработать Mac bootkits, которые можно было доставить откуда угодно, но они также могли распространяться через зараженные устройства Thunderbolt, что создает своего рода “firmworm“.

Троица разработала множество способов, с помощью которых злонамеренный злоумышленник может заразить Master Boot Record (Bootkit) и даже успешно запустить его. Они продемонстрируют эти методы на конференции Black Hat Security, которая пройдет в Лас-Вегасе на этой неделе. Вредоносное ПО, разработанное троицей, будет работать при условии, что злоумышленник уже имеет корневой контроль над машиной.

Получить корневой контроль над компьютером Mac - это не простая задача, однако они считают, что с помощью эксплойта Oracle или Adobe Flash злоумышленник может добиться этой задачи.

Как только злоумышленник получает корневой контроль, он может использовать уязвимость, обнаруженную Рафалом Войтчуком из Bromium и Кори Калленбергом из MITRE Corporation, согласно которой “Аутентифицированный локальный злоумышленник может обойти Secure Boot и/или выполнить произвольное перепрошивание прошивки платформы, несмотря на наличие принудительного обновления подписанной прошивки. Кроме того, злоумышленник может произвольно читать или записывать в область SMRAM. Наконец, злоумышленник может повредить платформенную прошивку и сделать систему неработоспособной.” Короче говоря, злоумышленники могут разблокировать BIOS, который является частью прошивки, работающей сразу после включения ПК и управляющей потоком данных между ОС компьютера и его аппаратным обеспечением, таким как жесткий диск, мышь, клавиатура и т.д.

Эта уязвимость, также известная как ‘Darth Venamis’, известна с сентября 2014 года, однако она была частично исправлена на Apple Macs, что позволяет злоумышленникам легко проникать в прошивку. Исследователи безопасности Войтчук и Калленберг первыми обратили внимание на эту уязвимость в декабре 2014 года. Они показали, что злоумышленник может использовать эту уязвимость и ‘поставить Mac в спящий режим’ и ‘разбудить его’, и если злонамеренный злоумышленник сможет ‘разобраться, как система просыпается’, они могут даже атаковать “скрипт возобновления”.

“Скрипты возобновления” обычно перенастраивают части аппаратного обеспечения, которые изменяются, когда они находятся в состоянии низкого энергопотребления. Таким образом, можно изменить эти скрипты и убедиться, что BIOS остается разблокированным при перезагрузке компьютера.

Роль Thunderstrike:

Добавление атаки Thunderstrike, разработанной Хадсоном, приведет к появлению “firmworm”. Теперь любая машина, которая была заражена, будет распространять или передавать эксплойт на устройство Thunderbolt, которое, в свою очередь, при подключении к другому компьютеру Apple начнет выполнять вредоносный код. Эта процедура косвенно помогает злоумышленникам обойти препятствия, такие как воздушные зазоры, и легко нацеливаться на машины, даже в случаях, когда они не подключены к сети.

Далее, Thunderstrike атакует прошивку Boot ROM.

Прошивка Boot ROM: Что это? Когда компьютер включен, первым процессом, который запускается на любом устройстве, является Boot ROM. Если Boot ROM безопасен, то все процессы, запущенные после этого, также будут безопасны. Таким образом, Boot ROM является одним из самых глубоких слоев машины. Однако это также одно из лучших мест для скрытия, потому что программы безопасности не углубляются сюда, что облегчает злоумышленникам скрываться и легко захватывать контроль над Mac.

Вопрос, который возникает здесь, заключается в том, как можно заразить компьютер Mac на этом уровне! Хадсон использовал Option ROMs (OROMs), чтобы получить доступ к Boot ROM компьютера Mac.

OROMs выполняют ту же работу, что и Boot ROMs на устройствах, которые были подключены через порты Thunderbolt.

OROMs не имеют возможности хранить и заменять прошивку ПК; однако Хадсон обнаружил, что он может изменить содержимое обновления прошивки на Apple Mac и, таким образом, использовал его для замены открытого ключа, который Apple использует для проверки обновлений. Все это указывает на то, что злоумышленник сможет установить свой собственный ключ в прошивку, который будет запускать только те обновления, которые подписаны злоумышленниками, а не Apple.

Ниже представленное видео демонстрирует, как эта атака может переходить от OROMs к BIOS и затем обратно к OROMs, готовясь заразить другой Mac.

Ковах говорит: “Злоумышленник может просто заразить флеш-чип, чтобы начать. Машина затем заразит любые Thunderbolt OROMs, с которыми она соприкасается на протяжении всей своей жизни.”

В июне Apple разработала патч для уязвимости Darth Venamis, который, по словам Коваха, не исправил проблему. По словам Коваха, патч недостаточно эффективен, и злоумышленники все еще могут проникнуть в Режим управления системой (SMM), который является той частью прошивки, которая может читать все, что проходит через память.

Когда Forbes запросил комментарий, Apple не ответила.

С этим червем прошивки теперь Apple и Microsoft показали, что у них есть по крайней мере что-то общее, и что может быть лучше, чем уязвимость!

Недавно Ковах и Калленберг обнаружили множество уязвимостей на уровне прошивки, которые затрагивают не только Macs, но также могут повлиять на другие компьютеры, использующие Unified Extensible Firmware Interface (UEFI) или даже его предшественник, Extensible Firmware Interface (EFI). Ковах также упомянул, что обычно EFI и UEFI происходят из одной и той же эталонной реализации и также имеют схожие уязвимости.

Таким образом, можно сказать, что компоненты Thunderstrike 2 в основном основаны на ранее раскрытых уязвимостях.

Согласно Intel, одним из лучших способов исправить уязвимость будет использование криптографических подписей на OROMs, что обеспечит, что ROM не выполнит никакую команду, если у него нет действительной подписи, тем самым устраняя возможность злоумышленника захватить контроль над boot ROM. Другим средством является SMM lock box, который помогает заблокировать важные “скрипты возобновления” от прошивки. Оба эти метода могут защитить ПК от Thunderstrike 2.

Похоже, производители Dell и HP уже внедрили эти технологии смягчения. Однако Apple каким-то образом проигнорировала эти решения, предложенные Intel.

Ковах, с другой стороны, утверждает, что даже если бы Apple реализовала эти меры, компьютеры Mac все равно были бы подвержены атакам вредоносного ПО с помощью другой ошибки, известной как SpeedRacer, которая все еще не исправлена. Злоумышленник может использовать ошибку SpeedRacer, чтобы заблокировать Mac, повредив данные или обойдя защиты.

Как определить, был ли Apple Mac заражен:

Чтобы определить, был ли компьютер заражен атаками Thunderstrike 2, пользователи должны получить “форенсику прошивки”. К сожалению, в настоящее время это не предлагается среднему пользователю.

Исследователи безопасности разработали несколько OROM проверок, которые доступны бесплатно; однако это будет полезно только в том случае, если пользователь имеет знания о некоторых основных аспектах безопасности на уровне чипов, а если нет, пользователям придется изучить это и защитить себя от атак.

Короче говоря, Ковах заключает, что Apple осведомлена о уязвимостях и в некотором роде несет ответственность за эти уязвимости. Он считает, что Apple каким-то образом не использует защиты и меры, которые она должна принимать, и не обеспечивает безопасность своим уважаемым пользователям, которые верят, что Apple - самый защищенный компьютер!