13 ene. 2015

Thunderstrike: código "indetectable" capaz de infectar Macs

El investigador de seguridad Trammell Hudson, creador del entorno de programación Open Source Magic Lantern, ha descubierto una manera de infectar Macs con un malware prácticamente indetectable y que "no puede eliminarse" (por ahora). Hudson presentó su trabajo en la última conferencia 31C3.

El ataque llamado Thunderstrike instala el código malicioso en la Boot ROM vía el puerto Thunderbolt descubrió la vulnerabilidad cuando se encontraba "investigando la seguridad de los portátiles de Apple y realizando ingeniería inversa sobre algunos rootkits de Mac y analizar si era posible parchear el firmware para lograr evitarlos".
Después de descubrir que la Boot ROM podía ser alterada mediante el acceso físico, Hudson refinó su técnica para lograr realizar el ataque mediante el puerto Thunderbolt del sistema. "Mediante el uso de Thunderbolt se puede conseguir ejecutar código durante el arranque del sistema". Un ataque "evil-maid" es un exploit dirigido a un dispositivo que ha sido apagado y desatendido; se caracteriza por la habilidad del atacante para acceder físicamente al objetivo sin conocimiento del propietario.

Puesto que este es el primer firmware bootkit para OS X ninguna herramienta es capaz de detectarlo y se puede controlar totalmente el equipo, registrar las pulsaciones de teclado, instalar puertas traseras y saltear la seguridad del firmware y el cifrado del disco. Además, no puede eliminarse por software porque se puede controlar las rutinas de actualización y la reinstalación de Mac OS X no puede eliminarlo.
Los ataques de "evil-maid" clásicos también son factibles ya que sólo con algunos minutos a solas con el portátil, se puede sustituir el firmware ROM mediante Thunderstrike. Según Hudson, el ataque es eficaz contra todos los MacBook Pro/Air/Retina con Thunderbolt.
Afortunadamente, Hudson informa que Apple está trabajando en una actualización que evitará que el código malintencionado escriba en la ROM vía el puerto Thunderbolt.

Fuente: ZDNET y Trammell Hudson

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!