29 dic. 2014

Fallo permite introducir rootkits en los MacBooks a través de Thunderbolt

Se ha descubierto un fallo de seguridad a través del cual se puede infectar los ordenadores MacBook con rootkits de arranque, solo necesitando conectar un dispositivo malicioso en el puerto Thunderbolt.

Con el nombre de Thunderstrike, el ataque consigue instalar código malicioso en la ROM de arranque de un MacBook, que se almacena en un chip sobre la placa madre. La vulnerabilidad ha sido descubierta por el investigador de seguridad Trammell Hudson, que demostrará sus descubrimientos la próxima semana en el Chaos Communication Congress de Hamburgo.

Sin embargo no hay que esperar tanto para saber algunos detalles, ya que según la descripción de la exposición que hará en el evento, "es posible usar una opción en la ROM de Thunderbolt para eludir la comprobación los certificados criptográficos, en las rutinas de actualización del firmware EFI de Apple", lo que permite el acceso físico a la máquina e introducir código no confiable en la ROM de placa base, permitiendo crear una nueva clase de rootkits de arranque para los MacBooks.

Debido a que el código se introduce a nivel de la ROM de la placa base, este se carga antes que el sistema operativo, dejándolo vendido a todo tipo acciones imaginables por parte de un hacker, pudiendo modificar el sistema o bien tener control remoto sobre él. Además su ubicación le otorga un gran poder, resultando muy persistente, ya que una reinstalación de OS X no corregiría el problema y no solo eso, cualquier sistema operativo que se instale en el MacBook corre riesgos de ser afectado por el software malicioso. La única manera de solucionar Thudnerstrike sería "flasheando" de nuevo la ROM.

Aparte de dejar expuesto el sistema operativo, también es capaz de bloquear las actualizaciones de firmware oficiales de Apple, ya que el rootkit puede hasta reemplazar claves criptográficas almacenadas en la ROM de la placa base, saltándose los mecanismos de seguridad. Por último hay que mencionar que tiene la capacidad de reproducirse a través de otros dispositivos que utilicen la interfaz Thunderbolt.

Este fallo de seguridad recuerda al encontrado en el propio estándar USB, que también se reproducía con tan solo conectar cualquier dispositivo que usase esa interfaz en un ordenador infectado.

Fuente: Muy Computer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!