Un ataque en el firmware de los ordenadores Apple los hace vulnerables y difíciles de detectar sin siquiera estar conectado a una red.
La nueva investigación pone de relieve las debilidades actuales en el software de bajo nivel que se ejecuta en todos los equipos antes de cargar un sistema operativo.
Viene de los investigadores Xeno Kovah y Corey Kallenberg de LegbaCore y Trammell Hudson de Two Sigma Inversiones. Ellos mostraron a principios de este año cómo podrían infectar el firmware de un Mac con un malware mediante la conexión de dispositivos maliciosos a ellos utilizando Thunderbolt, una interfaz de transferencia de datos de alta velocidad de Apple. El ataque fue apodado Thunderstrike.
El jueves, se presentará Thunderstrike 2 , un ataque que mejora en el antiguo, ya que puede propagarse a otras máquinas a través de periféricos removibles.
Su ataque utiliza varias vulnerabilidades en el firmware utilizado por Apple. La compañía ha parcheado algunas de las fallas en junio, pero algunas permanecen, escribió Hudson en su blog.
En teoría, el firmware no podría ser modificado o reescrito. El malware que se encuentra dentro del firmware es especialmente peligroso ya que los productos de seguridad no comprueban la integridad del firmware, significa que los usuarios no tendrían ni idea de que ha sido manipulado.
El ataque Thunderstrike 2 utiliza un privilegio de la raíz local que carga un módulo del kernel y le da acceso a la memoria, de acuerdo con un video de presentado de dos minutos publicado por los investigadores en YouTube.
En algunos casos del ataque, el código puede desbloquear de inmediato y volver a escribir el firmware de arranque. En otros casos se puede tomar ventaja del problema cuando un equipo se pone en modo de espera y luego reanudar su marcha, un problema que ha sido explorado por otro investigador .
El malware puede escribir las ROMs de opciones de periféricos Thunderbolt extraíbles. Si un periférico infectado se inserta en otro Mac, la ROM se ejecuta antes de los lanzamientos del kernel del sistema operativo.
Por el momento, sin embargo no puede alterar el firmware. Tiene que esperar a que el equipo se duerma y despierte de nuevo. Después de que eso, el flash de arranque no lo protege más, y Thunderstrike 2 puede escribir el firmware.
«Una vez instalado en el flash de arranque, es muy difícil de eliminar, ya que controla el sistema desde la primera instrucción ejecutada en el arranque», dice el vídeo. «Esto incluye a las claves para la actualización del firmware.»
La reinstalación del sistema operativo no eliminará el malware y tampoco lo hará la sustitución de la unidad de disco duro.
El ataque se podría utilizar para llegar a los ordenadores que han sido aislados intencionalmente por razones de seguridad.