Thunderstrike 2, un ataque indetectable a Mac

Mañana jueves 6 de agosto, en la conferencia de seguridad Black Hat de Las Vegas, los investigadores Trammell Hudson and Xeno Kovah presentaran una prueba de concepto para infectar equipos Mac. Según los investigadores, lo más importante es que a priori es casi indetectable ya que funciona directamente en el firmware.

Bautizado como Thunderstrike 2, este nuevo ataque está inspirado en una prueba de concepto previamente desarrollada por Trammell Hudson llamado Thunderstrike.

A diferencia de cualquier malware, Thunderstrike 2 no infecta los equipos Mac a través de archivos o del propio sistema operativo, si no que lo hace a nivel de firmware. La única manera de eliminarlo sería volver a flashear el chip que contiene dicho firmware.

¿Un gusano indetectable?

La exploit original de Trammell Hudson, aprovechaba una vulnerabilidad en Thunderbolt Option ROM y podía utilizarse para infectar Extensible Firmware Interface (EFI) de Apple mediante la asignación de un código malicioso en el arranque del equipo y a través de dispositivos Thunderbolt infectados. Entonces, el ataque Thunderstrike original requiere que el atacante tenga acceso físico al ordenador Mac, el nuevo ataque puede extenderse remotamente. Thunderstrike 2 utilizan un exploit para ganar acceso root local, cargar un
módulo kernel y dar acceso a la memoria raw.

Teniendo en cuenta que el firmware se mantiene intacto, aunque el sistema operativo sea reinstalado una y otra vez, el malware siempre se va a encontrar residente en el sistema de una forma persistente. Thunderstrike 2 se expande directamente a través del puerto Thunderbolt y puede afectar a cualquier Mac bien a través de un simple correo electrónico, conectando cualquier dispositivo a través del puerto USB o simplemente desde un adaptador Ethernet.
Después de descargado en un ordenador, Thunderstrike 2 puede infectar accesorios conectados al puerto Thunderbolt y así el malware puede propagarse automáticamente a cualquier Mac que se conecte.

El desarrollo de este gusano viene de una investigación que ya se realizó sobre las posibles vías de infección a través del propio firmware de diferentes fabricantes como HP, Lenovo o Dell y se dieron cuenta que cinco de los seis bugs detectados aplicaban también para las computadoras Apple. En respuesta a la advertencia, Apple arregló una de las fallas y una segunda (CVE-2015-3692) de forma parcial, y aún está lidiando con las tres otras.

Muchas de esas vías de infección son aplicables a Apple desde el mismo momento que el gigante de Cupertino utiliza estándares de referencia para la programación de su propio firmware. Gracias al desarrollo de este gusano, Apple ya ha conseguido tapar dos de esas cinco vías a través de las cuales se puede propagar la infección.

Los investigadores planean presentar sus hallazgos en las conferencias Black Hat y DefCon esta semana. Mientras, Trammell Hudson ha publicado una FAQ sobre Thunderstrike 2.

Fuente: Blog de Trammell Hudson

Suscríbete a nuestro Boletín