BlackHat 2015, Vulnerabilidad en Thunderstrike de Mac OS X

Se espera que un nuevo ataque contra firmware de Intel que se ejecuta en los ordenadores de Apple que se hará público en la conferencia Black Hat 2015 de esta semana. La investigación es una extensión del bootkit firmware Thunderstrike Mac OS X que se dió a conocer esta primavera que permite la instalación de firmware indetectable malicioso que sobrevive a reinicios y reinstalaciones del sistema operativo.

BlackHat 2015 Thunderstrike
BlackHat 2015 Thunderstrike

Thunderstrike 2 es diferente de su predecesor en que un atacante no sería necesario el acceso físico a un Macbook; este ataque se puede realizar de forma remota y explota auto-replicarse a través de los periféricos, dijeron los investigadores.

El trabajo es una colaboración entre la ingeniería inversa aficionado y seguridad investigador Trammell Hudson y Xeno Kovah de Legbacore. Hay cerca de media docena de vulnerabilidades de firmware en riesgo de explotación que han sido dadas a conocer hace unos meses a Apple. Apple ha parcheado algunos de de estos temas, pero otros permanecen y las dos partes todavía están trabajando en una resolución.

Las vulnerabilidades descubiertas por firmware Kovah y su colega Corey Kallenberg viven en el hardware utilizados en las plataformas Windows y Apple. El problema es que las fallas han sido parcheado en la implementación de referencia para UEFI en otras plataformas Intel. En el caso de Apple, la compañía ha dicho en el pasado su firmware no se vio afectado; todo el firmware en cuestión, sin embargo, se deriva de la misma implementación de referencia de Intel, dijeron los investigadores.

Ataques de firmware son excepcionalmente compleja de lograr, que requiere experiencia y los recursos financieros para ejecutar. En feberero, los investigadores de Kaspersky Lab revelaron un ataque firmware desarrollado y ejecutado por un agente del Estado-nación conocido como el Grupo de ecuaciones. Entre sus muchas capacidades era un módulo de hardware llaman nls_933w.dll que los investigadores llamaron el “mecanismo de persistencia final”, que reservaba sólo a los objetivos de alto valor-y uno que requiere acceso a la documentación propia para una serie de proveedores de hardware para entender cómo cada uno de el firmware correspondiente opera.

El resultado final da un determinado acceso de hackers indiscriminado de nivel raíz a un ordenador y la posibilidad de añadir otros ataques para robar datos y mover tranquilamente a voluntad sobre la máquina.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This site uses Akismet to reduce spam. Learn how your comment data is processed.