Pesquisador Trammel Hudson desenvolveu um meio para impingir uma nova classe de bootkits para Macs, usando dispositivos Thunderbolt, utilizando uma forma de USB ataques "da empregada doméstica do mal '.
Hudson vai apresentar a conclusão no próximo Congresso das Comunicações Chaos na Alemanha na próxima semana e disse que os ataques são fáceis de executar usando as portas Thunderbolt e persistiria entre as reinicializações.
O bootkit também sobreviveria reinstalação de sistemas operacionais e de substituição de discos rígidos.
"Uma vez instalado, ele pode impedir tentativas de software para removê-lo e poderia se espalhar de forma viral através de lacunas de ar por infectar dispositivos Thunderbolt adicionais", disse Hudson na sinopse de sua palestra.
"É possível usar uma ROM Opção Thunderbolt para contornar as verificações de assinatura criptográfica em rotinas de atualização de firmware EFI da Apple.
"Isso permite que um invasor com acesso físico à máquina de escrever código não confiável para o flash ROM SPI na placa-mãe e cria uma nova classe de bootkits de firmware para os sistemas MacBook".
O ataque também pode infectar dispositivos Thunderbolt permitindo-lhe calmamente, distribuídos por rede lacunas de ar.
Funcionou em parte por causa de uma falta de hardware validade firmware e software de criptografia cheques no boot permitindo códigos maliciosos para controlar imediatamente MacBooks.
A prova de conceito bootkit substituído chave RSA pública ROM da Apple impedindo tentativas de substituí-lo, enquanto ele poderia empregar System Management Mode entre outras técnicas não especificadas para ocultar-se.
Hudson disse que um dispositivo em sistema de programação era a única maneira de matar o bootkit e restaurar o firmware estoque.
Ele se baseou em uma vulnerabilidade Option ROM velho de dois anos que poderia ser fechado, mas Hudson disse ainda persistem problemas de segurança firmware EFI da Apple.
"... O maior problema de segurança firmware EFI da Apple e inicialização segura, sem hardware confiável é mais difícil de corrigir", disse ele. ®
Nenhum comentário:
Postar um comentário