MacBookom je možné infikovať firmvér cez Thunderbolt

Značky: bezpečnosťMacBookThunderbolt

DSL.sk, 29.12.2014

Notebooky MacBook od spoločnosti Apple je možné trvalo a nepozorovane infikovať dokonca na úrovni firmvéru, ak útočník dokáže podvrhnúť užívateľovi upravené Thunderbolt zariadenie.

Zistil to bezpečnostný expert Trammell Hudson, ktorý bude takýto útok pod označením Thunderstrike demonštrovať dnes na bezpečnostnej konferencii 31C3.

Útok Hudsona využíva dve zraniteľnosti, už známu zraniteľnosť umožňujúcu vložiť útočníkom zvolený kód do tzv. Option ROM Thunderbolt zariadenia a ďalšiu zraniteľnosť umožňujúcu pri boote MacBooku pri pripojenom Thunderbolt zariadení s podvrhnutým kódom v ROM prepísať EFI firmvér notebooku bez akejkoľvek kryptografickej kontroly.

Ak tak útočník dokáže k Thunderbolt portu notebooku pripojiť zariadenie s podvrhnutou Option ROM a MacBook následne rebootovať, škodlivý kód dokáže zapisovať do SPI flash ROM firmvéru notebooku. Útoku nezabráni ani firmvérové heslo, keď podvrhnutý kód v Option ROM Thunderbolt zariadenia sa spúšťa pred výzvou na zadanie hesla.

Ukážkový kód, ktorý bude Hudson prezentovať, sa nesnaží skrývať a napríklad viditeľne mení logo práve pri vyžiadaní si firmvérového hesla. Podľa experta by ale mohol škodlivý kód rozličnými technikami maskovať svoju prítomnosť.

Škodlivým kódom zmenené logo pri výzve na zadanie firmvérového hesla (foto: Trammell Hudson)

Keďže škodlivý kód sa nachádza vo firmvéri, odstrániť infekciu nie je možné preinštalovaním operačného systému ani výmenou disku. Naopak škodlivý kód môže zabrániť svojmu odstráneniu akýmikoľvek softvérovými spôsobmi a pre jeho odstránenie môže byť potrebné obnovenie firmvéru pomocou hardvérového preprogramovania.

Škodlivý kód by použitú techniku infekcie mohol využiť aj na vytvorenie červa, keď infikovaný firmvér môže zase infikovať Option ROM pripojených Thunderbolt zariadení. Po pripojení týchto zariadení k inému MacBooku by sa tak škodlivý kód mohol takýmto spôsobom sám šíriť.

Odstrániť prvú z využívaných zraniteľností je podľa Hudsona jednoduché, Apple napriek jej zverejneniu pred viac ako dvomi rokmi zatiaľ iba pripravuje opravu. Odstrániť druhú využívanú zraniteľnosť naopak jednoduché podľa Hudsona nebude, detaily má zverejniť počas podvečernej prezentácie.




Najnovšie články:



Diskusia:

Re: zas... Od: dando11111 | Pridané: 29.12.2014 9:54 "EFI firmvér notebooku bez akejkoľvek kryptografickej kontroly" ostatne sa ako tak da ale toto fe FAIL na druhu Odpovedať Známka: 2.7 Hodnotiť:

Re: zas... Od: filipkoo3245 | Pridané: 29.12.2014 10:55 kurnik už je zranitelne všetko či win , mac , linux , bsd , android , .... Odpovedať Známka: 2.0 Hodnotiť:

Re: zas... Od: karolkooooo | Pridané: 29.12.2014 10:59 uz?! zranitelne to bolo odjakziva, len teraz to vyplavalo na povrch, kedze apple na opravu je be Odpovedať Známka: 8.1 Hodnotiť:

Re: zas... Od: karolkooooo | Pridané: 29.12.2014 10:58 myslim, ze vacsi fail nez bol goto, nedosiahne nikto.. apple je banda diletantov - opravovat roky jednu chybu ...... uz sa tesim na jebnute ovecky ako tu zacnu presviedcat obycajnych smrtelnikov, aka je toto uzasna ficura :D Odpovedať Známka: 6.2 Hodnotiť:

Re: zas... Od: Fry | Pridané: 29.12.2014 11:44 Je to uzasne ficura, presvedcil som ta? Odpovedať Známka: 7.8 Hodnotiť:

Re: zas... Od reg.: black3r | Pridané: 29.12.2014 11:12 ty a clanok trocha zvelicujete.. apple na rozdiel od inych vyrobcov (napr. lenovo) ma vsetky firmware podpisane a vyzaduje kryptograficku kontrolu pri update.. FAIL na druhu je totizto ta prva !dvojrocna! chyba, ktora umozni spustit lubovolny kod pri boot-e macbook-u pred tym ako zacne operacny system == bootkit == prave tato prva chyba umoznuje ignorovat tu kryptograficku kontrolu pri update jednoduchym prepisanim toho software ktory tu kryptograficku kontrolu vykonava.. Odpovedať Známka: 8.7 Hodnotiť:

mekbuk Od: asdfghjkllô | Pridané: 29.12.2014 10:33 A čo na to Joskoooo? Redakcia by sa mala zaujímať o jeho stanovisko! Odpovedať Známka: 7.1 Hodnotiť:

Re: mekbuk Od: Gulkotron | Pridané: 29.12.2014 10:39 Joskoooo je zastanovany, je zima, pada snech a mrznu vlnky. Odpovedať Známka: 8.0 Hodnotiť:

Re: mekbuk Od reg.: josika | Pridané: 29.12.2014 12:20 Tato chiba sa tika len MacBookov ktore maju tento port implementovani. Vsetki ostatne laptopi su bespecne. Uzivatelom viuzivajuci iba apple certyfikovane prislusenstvo samozrejme im nic nechrosi. Neropte z komara slona. pretseda pretstavenstva josko Odpovedať Známka: 5.3 Hodnotiť:

dnes má meniny Milada Od: jeffy | Pridané: 29.12.2014 11:26 super, perfektne, uz lepsiu spravu na koniec roka som ani nemohol cakat. Vyborne zakoncenie roka. :) Otvaram sampanske!!! Odpovedať Známka: 8.6 Hodnotiť:

hoc nemám rád MacPrdy a CrApple, ale... Od reg.: Bryan Fury | Pridané: 29.12.2014 11:43 "Dobrý deň. Prosím Vás, smel by som sa napojiť na Váš zraniteľný thunderbolt port, aby som Vám mohol infikovať firmware Váško MacBooku škodlivým kódom? Ďakujem." asi toľko ku tomu celému... Odpovedať Známka: -6.5 Hodnotiť:

Re: hoc nemám rád MacPrdy a CrApple, ale... Od: Ujo Icko | Pridané: 29.12.2014 12:53 "Chytaj moj TB disk, je na nom Spongeknob Squarenuts. Urcite to chces vidiet!" Jednoduchsia verzia :D Odpovedať Známka: 10.0 Hodnotiť:

mnela babka Od reg.: gringo | Pridané: 29.12.2014 13:08 Najlepsie su vsak tie komenty od tich co maju jablka ze sa to da napadnut iba za velmi specifickych pomienok..takze im nic nehrozi. Odpovedať Známka: 6.0 Hodnotiť:

Re: mnela babka Od: reg: x x l l | Pridané: 29.12.2014 13:22 No, najvtipnejsie je, ze vsetci co si tu mastia ega na ukor Apple, maju uplne rovnake maslo na hlave. Tento typ utokov je uz dlhsiu dobu znamy (prakticky od cias PCMCIA zbernic) a preto existuju tooly, ktore vam vase ultra zabezpecene windows a linuxy, na pockanie odomknu, alebo rovno ziskaju rootove prava - http://goo.gl/QY2HqO :D Odpovedať Známka: 8.0 Hodnotiť:

Re: mnela babka Od: loko | Pridané: 29.12.2014 13:47 rozdiel je v tom, ze nikto nikdy netvrdil, ze Windows je bezpecny Odpovedať Známka: 7.5 Hodnotiť:

Re: mnela babka Od: reg: x x l l | Pridané: 29.12.2014 14:01 Nuz, tak kde Apple tvrdi, ze ich system je neprekonatelny? Rozdiel je len v tom, ze kopanec do Apple sa lepsie medialne predava. Tento typ utokov je vazny a postihuje vsetky platformy, ale ako vidno, jediny Apple s tym ako tak nieco robi (zakazuje DMA ked ho netreba, pouziva IO virtualizaciu a pod). No a posmesky na ukor toho, ze nevedia niekolko rokov opravit chybu... Rad by som videl tunajsich expertov na teplu vodu, ze ako by implementovali podporu pre hardware, ktoreho funkcionalita je dana urcitou specifikaciou (casto krat zlou, alebo by-design nebezpecnou) Odpovedať Známka: 4.5 Hodnotiť:

Re: mnela babka Od reg.: gringo | Pridané: 29.12.2014 14:16 Nič proti jabku ale ja osobne nemusím keď niekto fanaticky obhajuje apple ako totálne neprekonateľný. Odpovedať Známka: 4.3 Hodnotiť:

Re: mnela babka Od reg.: black3r | Pridané: 29.12.2014 14:35 rozdiel je ten, ze Apple v sucasnosti pcha Thunderbolt port do vsetkych svojich notebook-ov.., zatialco pritomnost Firewire/Thunderbolt/PCMCIA/ExpressCard je vacsinou iba v high-end firemnych notebookoch.. Odpovedať Známka: 5.0 Hodnotiť:

Re: mnela babka Od: nohomo | Pridané: 29.12.2014 16:56 A apple notebooky spadaju kam chces povedat ? medzi lacne shity pre studentov typu asus za 300 ? Apple notebooky minimalne pro rada a mozno este aj air 13 patria do highendu, su to pracovne alebo aj ako ty si napisal firemne notebooky. To ze si ich kupuju pipky aby sedeli v kaviarni na facebooku s macboocikom ako panicky je druha vec. Btw ak zhanas pracovny notebook tak macbook pro neprekona nic, ani hw ani displejom a vlastne ani cenou, a ked zratam ze aj windows nieco stoji, tak macbook neprekona fakt nic ani lenovo a ich pracovne notebooky. Odpovedať Známka: -4.3 Hodnotiť:

Re: mnela babka Od: wtf | Pridané: 29.12.2014 21:15 ty si idiot... Odpovedať Známka: 3.3 Hodnotiť:

Re: mnela babka Od: nohomo | Pridané: 30.12.2014 1:06 mozes aspon vysvetlit preco ? je to tvoj nazor ale zaujima ma preco taky je, ci mas nejaku inu skusenost alebo co... robil som na vyse 60 000 korunovom thinkpade este ked to robilo ibm, robil som na skoro 2000 eurovom lenove a v roku 2013 ked som potreboval znovu novy stroj som 3 mesiace hladal nieco co by konkurovalo 2013 15" retine od applu, nekonkurovalo nic, ani zo stranky hw a komponentov, ani zo strany ceny a o displeji ani nehovorim. Cize je to realna skusenost ze applu sa v tejto kategorii nic nevyrovna, a to ze som podla teba idiot moze znamenat len dve veci, ze si sam idiot, alebo mas komplexy koli tomu ze nevies/neskusil aky je poriadny notebook Odpovedať Známka: 5.0 Hodnotiť:

Re: mnela babka Od: 234242 | Pridané: 30.12.2014 14:02 apple nie je vhodny do korporatnej sfery Odpovedať Hodnotiť:

Re: mnela babka Od: reg: x x l l | Pridané: 29.12.2014 18:36 To je argument ako prdel. Vacsinou, najcastejsie, typicky, vsetko slova, ktore len zahmlievaju neschopnost vyrobcov OS a hardware tento problem riesit :D Odpovedať Známka: 7.1 Hodnotiť:

dnes má meniny Dáviť Od: Ladič Pijan | Pridané: 30.12.2014 8:33 Ja mam widly nainstalovane na urovni biosu, resp. este pred biosom natvrdo v ROM-ke, takze mi nic nehrozi, ziadny utok a ziadne prepisy HW, nakolko ako prve sa mi loadnu widly, a potom kontroluju integritu firmweru kazdeho zariadenia, ci nebolo pozmenene. :) Odpovedať Známka: 0.0 Hodnotiť:

Pridať komentár