No es la primera vez que hablamos en Seguridad Apple sobre ataques similares que afecten al firmware y que se lleven a cabo por Thunderbolt, e incluso vimos ya cómo se podía acceder directamente a memoria para hackear los portátiles mediante la conexión Thunderbolt.
El ataque se aprovecha de un fallo antiguo en la opción ROM Thunderbolt, el cual se dio a conocer por primera vez en el año 2012, aunque a día de hoy sigue sin ser parcheado por Apple.
Con este fallo se puede escribir código personalizado en la ROM, pero el investigador mostrará un método con el cual el bootkit podría replicarse a sí mismo a cualquier dispositivo Thunderbolt adjunto, dotándole de capacidad de propagación a través de las redes. El ataque no puede ser mitigado mediante la reinstalación de OS X, o incluso intercambiando el disco duro, ¿por qué? Esto es debido a que el código alojando en una ROM está separado de la placa base. En el abstract del investigador se señala que él podría reemplazar la clave criptográfica propia de Apple con una nueva, por lo que afectaría gravemente a las actualizaciones de firmware legítimo.
En la descripción de la charla también se puede leer que no hay hardware ni software que realice un control criptográfico en el momento del inicio sobre el firmware, por lo que una vez que el código malicioso se ha flasheado a la ROM, se puede controlar el sistema desde la primera instrucción. Las vulnerabilidades a tan bajo nivel son muy alarmantes, ya que son complejas de detectar, y en muchas ocasiones también complejas de subsanar por el proveedor. El ataque de Hudson, el investigador que ha encontrado el fallo, requiere de acceso físico, pero su capacidad y su posibilidad de propagación hace que sea realmente peligroso.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...