Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

El nuevo malware de Apple es indetectable, imparable y puede infectar cualquier dispositivo equipado con Thunderbolt

Los productos de Apple han disfrutado durante mucho tiempo de una reputación de seguridad superior en relación con los sistemas Windows, pero un nuevo método de entrega de malware de prueba de concepto podría afectar seriamente esa reputación. El exploit, denominado Thunderstrike, actualmente no puede ser detectado ni eliminado por ningún proceso conocido sin utilizar hardware especializado. El investigador de seguridad Trammell Hudson ha demostrado cómo usar un periférico Thunderbolt para cargar lo que él llama un «kit de arranque» a través de la ROM opcional del dispositivo.

Las ROM opcionales son bloques de memoria opcionales o específicos de periféricos que se implementaron por primera vez en la década de 1980 como una forma de almacenar programas críticos o recuperar bloques de memoria específicos de periféricos. Se inicializan al principio del proceso de inicio y, a menudo, se «enganchan» al BIOS para proporcionar un dispositivo de inicio o un inicio de red. Los dispositivos Thunderbolt contienen sus propias ROM de opción, y el hardware de Apple comprueba estas áreas como parte de su secuencia de arranque.

El paquete de explotación se inyecta desde la ROM opcional del dispositivo Thunderbolt infectado directamente en la interfaz de firmware extensible (EFI) del sistema. La documentación oficial sobre el estándar EFI / UEFI, que se muestra a continuación, parece implicar que esto es imposible, ya que se supone que el firmware está bloqueado por defecto:

Thunderstrike-Injection

En teoría, los mecanismos EFI previenen este ataque.

Desafortunadamente, no lo es. Investigación y pruebas de Hudson indica que las ROM opcionales son cargado durante el proceso de inicio del modo de recuperación. El único inconveniente, en este punto, es que Apple aún verifica la firma del archivo EFI. Si cambia el tamaño o el contenido del archivo, no pasa la verificación, o lo haría, si el equipo de investigación no hubiera ideado un método para reemplazar la clave RSA pública almacenada de Apple con una clave bajo su propio control.

Inyección

Una vez que se da este paso, no hay vuelta atrás. Sin una clave de autenticación RSA adecuada, es imposible que el usuario final actualice el firmware del dispositivo con una imagen estándar de Apple. Todos los intentos de hacerlo fallarán en la autenticación. Con un acceso tan básico al sistema, hay muy poco atacante. hipocresía hacer. Se puede monitorear todo el sistema, registrar las pulsaciones de teclas, rastrear las visitas al sitio web y registrar los datos de las contraseñas. El kit de arranque también se puede pasar a otros dispositivos Thunderbolt si están conectados a una máquina comprometida.

¿Son los ataques de la “doncella malvada” un vector válido?

La única buena noticia en este tema es que el ataque requiere al menos una breve ventana de acceso físico al sistema. En la mayoría de los casos, ese tipo de requisito limita la mayoría de los ataques a ejercicios estrictamente teóricos, pero Thunderstrike es algo diferente. Primero, el ataque es rápido. El atacante no necesita sentarse en la PC durante varios minutos, o incluso ingresar datos. Enchufe subrepticiamente un dispositivo Thunderbolt, mantenga presionado el botón de encendido durante varios segundos y boom: el ataque se puede ejecutar y autoinstalarse en un escaso número de minutos. Dependiendo de cuán furtiva sea la ejecución, un observador casual podría ver nada más que un ciclo de arranque más largo de lo normal.

Thunderstrike-1

El modelo estándar para los ataques de acceso físico se basa en la idea de la sirvienta malvada: alguien que puede acceder a un sistema mientras está almacenado en una habitación de hotel o encerrado en una caja fuerte, pero me atrevo a decir que la velocidad y la sutileza de este truco lo hacen más grande. amenaza. Si alguna vez ha asistido a una conferencia de negocios o evento tecnológico, no es exactamente raro que las personas tengan computadoras portátiles afuera pero no las atiendan estrictamente, o dejar un sistema sentado durante unos minutos mientras usan el baño o toman un refresco.

En tercer lugar, y lo más escalofriante, ahora sabemos que las agencias gubernamentales participan activamente en el tipo de intercepción dirigida que hace que un ataque como este funcione. Uno de los informes filtrados por Edward Snowden detalla cómo la NSA interceptará hardware en ruta de fabricantes como Dell y HP, lo modificará con rootkits y software espía antes de que llegue a su destino, luego volverá a empaquetar el equipo y lo enviará en su camino. Si bien no hay forma de saber cuán extendidas están tales tácticas, sabemos que sucede: exploits como Thunderstrike probablemente valen su peso en oro para las diversas agencias de inteligencia nacionales del mundo.

Apple está preparando un parche de firmware que al menos se negará a cargar las ROM opcionales durante las actualizaciones de firmware, pero deja abierto un exploit de seguridad diferente detectado por primera vez en 2012. Se desconoce el cronograma para una solución completa.

Ahora lea: Wirelurker: una nueva generación de malware iOS y OSX que ha infectado a miles