Alerta: Macs estão vulneráveis ao novo e malicioso Thunderstrike 2

10/08/2015 09:35
Ataque foi criado por grupo de hackers white hat e utiliza uma série de vulnerabilidades do firmware da Apple para conduzir perigoso worm

Um ataque aperfeiçoado para firmware torna vulnerável o sistema de segurança de computadores da Apple. Dificilmente detectado, o malware pode causar estrago considerável mesmo sem estar conectado a uma rede, de acordo com uma apresentação Black Hat, que será dada em conferência no final desta semana, nos Estados Unidos.  

A nova pesquisa ressalta a atual fraqueza na parte do software que roda em todo computador antes de um sistema operacional ser carregado. 

O anúncio foi feito pelos pesquisadores Xeno Kovah e Corey Kallenberg do LegbaCore e Trammell Hudson do Two Sigma Investments. 

No início deste ano, eles mostraram como conseguiram infectar o firmware de um Mac ao conectar neles dispositivos maliciosos usando um Thunderbolt - a tecnologia de transferência de alta velocidade da Apple. Na ocasião, o ataque foi batizado de Thunderstrike.  

Na última quinta-feira, eles revelaram o Thunderstrike 2, um ataque aperfeiçoado já que pode ser espalhado para outras máquinas através de periféricos removíveis.

O ataque desenvolvido pelo grupo de hackers white hat utiliza uma série de vulnerabilidades encontradas no firmware da Apple. A companhia corrigiu algumas das falhas em junho, mas algumas se mantêm, escreveu Hudson em seu blog.

Em teoria, o firmware não deveria permitir que ele fosse modificado ou mesmo reescrito. O malware que se alocaria dentro do firmware é particularmente perigoso, uma vez que produtos de segurança não checam a integridade do firmware, o que significa que usuários não teriam ideia que foram adulterados.

O ataque Thunderstrike 2 utiliza um exploit em raiz local privilegiada que carrega um módulo kernel e dá acesso a memória raw do computador, de acordo com um vídeo de demonstração publicado no YouTube. 

Em alguns casos, o código do ataque pode imediatamente destravar e reescrever o flash de inicialização. Em outras instâncias, ele pode tomar vantagem de um problema quando um computador é colocado para hibernar e, em seguida, voltar a rodar. 

O malware consegue se direcionar para o Option ROMs de periféricos Thunderbolt. Se um periférico infectado for inserido em outro Mac, o Option ROM é executado antes mesmo do sistema operacional iniciar. 

No entanto, ele não pode interferir no firmware – pelo menos, não ainda. Ele precisa esperar que o computador seja reiniciado. Depois que isso acontece, o flash de inicialização não está mais protegido e o Thunderstrike 2 consegue se direcionar sozinho até o firmware. 

“Uma vez instalado no flash de inicialização, é muito difícil ser removido já que ele consegue controlar seu sistema da primeira instrução até a inicialização”, diz o vídeo. “Isso inclui as chaves para atualizar o firmware. 

Reinstalar o Sistema Operacional não removerá o malware e tampouco substituir o drive. Na teoria, usuários precisariam abrir a máquina e fazer manualmente o re-flash do chip.

O ataque poderia ser usado para atingir computadores que foram isolados intencionalmente por questões de segurança. Por exemplo, um Mac pode ser infectado usando um ataque com base na web. Depois, o código do Thunderstrike 2 poderia infectar um periférico Thunderbolt. Se esse dispositivo for então inserido em uma máquina air-gapped, ela estará infectada. 

 

Fonte:Macworld