Dernier né d'Apple Malware: Unstoppable, indétectable et capable d'infecter les appareils Thunderbolt

Il s'agit d'une traduction automatique améliorée de cet article.

Par rapport aux systèmes Windows, Apple a maintenu la supériorité de sécurité pour de nombreuses années. Cependant, la dernière méthode de livraison des logiciels malveillants proof-of-concept pourrait mettre un terme à cela.

Surnommé “Thunderstrike”, ce malware est impossible de d’enlever par des méthodes conventionnelles, sauf si vous avez accès à du matériel spécialisé. Trammel Hudson, un chercheur en sécurité a utilisé pour Option ROM de périphérique afin de démontrer l’utilisation d’un périphérique Thunderbolt qui a chargé ce qu’il appelle une “bootkit”.

Développé dans les années 1980, Option ROM sont facultatifs, périphérique spécifique, conçu comme une autre méthode de stockage des programmes critiques ou récupérer des blocs spécifiques périphériques de mémoire. Initialisée au début du processus de démarrage, ils se accrochent généralement le BIOS afin de fournir un dispositif d’amorçage ou de démarrage réseau. Dispositifs fonctionnant sur Thunderbolt sont équipés avec leur propre Option ROM, ce qui tout d’Apple vérifier, ce processus fait partie de la séquence de démarrage propre du matériel.

Que Thunderstrike fait est qu’il se injecte de l’Option ROM infecté du dispositif de Thunderbolt directement dans extensible firmware interface ou EH du système. Selon la documentation / UEFI EFI, le firmware doit être verrouillé par défaut, ce qui rendrait cette action malveillante impossible.

Basé sur la recherche et les essais d’Hudson, les choses ne sont pas ce qu’ils semblent être. Hudson a souligné que l’option ROM débute pendant le processus de démarrage de mode de récupération. Lors de cette étape, Apple continue de vérifier la signature EFI lui-même. Si vous modifiez soit la taille du fichier ou son contenu, il échouera le chèque, ou du moins il devrait avoir si l’équipe de recherche d’Hudson ne était pas venu avec une méthode pour remplacer stockée publique RSA clé d’Apple avec une sous leur contrôle complet.

A présent, l’utilisateur final ne peut pas mettre à jour le firmware de l’appareil avec une image standard d’Apple sans la clé appropriée RSA. Toute tentative ne passera pas l’authentification. Ayant ce niveau de base de l’accès au système, il serait très facile pour un attaquant de surveiller l’ensemble du système, connectez-vous frappes, les données de mot de passe d’enregistrement ou des sites Web de piste. Si d’autres dispositifs de coup de foudre sont connectés à une machine compromise, alors le bootkit pourrait facilement être transmis à eux.

Attaques »de ménage œevil» pourraient être considérés comme des vecteurs valides?

Le seul rayon de soleil, ce est que ce genre d’attaque nécessite un accès physique au système, même pour un bref instant. Habituellement, ce ne est qu’un exercice théorique, mais, Thunderstrike est différent. La première chose est que cette attaque fonctionne rapidement. La seule chose que l’attaquant doit faire est de simplement brancher dans le dispositif de Thunderbolt, maintenez le bouton d’alimentation pendant quelques secondes et ce est fait. Après cela, Thunderstrike sera auto-installation et l’auto-exécuter en quelques minutes. L’observateur ordinaire ne verra que le cycle de démarrage prend un peu plus longtemps.

L’idée derrière cette attaque ‘de ménage œevil’ se appuie sur le concept d’une personne ayant accès au système tel qu’il est enfermé dans une chambre d’hôtel ou sécuritaire. Ce est possible de faire encore lors de conférences, quand les gens quittent leurs ordinateurs portables sans surveillance à utiliser la salle de bains.

Chose la plus inquiétante est l’un des rapports de fuites d’Edward Snowden. Il donne les détails de la façon dont la NSA intercepte Dell ou HP matériel en cours de route afin de les rootkit, puis reconditionner que rien ne est arrivé. Bien que nous sommes certains de telles tactiques se produisent, il est prudent de supposer que les exploits tels que Thunderstrike peuvent être aussi précieux que l’or aux agences nationales de renseignement du monde.

La réponse d’Apple à ce est un patch qui niera Option ROM pour charger les mises à jour firmware cours. Il ne sait pas quand une solution vraie et complète sera découverte.