Несколько месяцев назад исследователь Траммел Хадсон создал эксплойт под названием Раскат грома , который может заразить компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывал себя на них, подвергая риску другие машины.
Apple устранила уязвимость в OS X версии 10.10.2, однако, как отчеты Wired, Хадсон и другой исследователь информационной безопасности, Ксено Кова, разработали новую версию эксплойта и опубликовали буткит и червя, которые заражают компьютеры Mac. Как и его предшественник, Thunderstrike 2 распространяется в основном через зараженные устройства Thunderbolt. Однако, в отличие от первой версии червя, теперь для проведения атаки злоумышленнику не требуется физический доступ к компьютеру.
По мнению исследователей, вредоносное ПО может попасть на компьютер с помощью «фишингового электронного письма или специального веб-сайта».
Попав на компьютер, червь заражает устройства, использующие для подключения дополнительное ПЗУ (например, адаптер Thunderbolt и Gigabit Ethernet, внешний SSD или даже RAID-контроллер).
Как только червь будет записан на устройство, он сможет атаковать любой Mac, к которому он подключен.
Основная опасность вредоносного ПО, действующего на уровне прошивки, заключается в том, что в настоящее время антивирусное ПО и другие средства безопасности ориентированы на работу с оперативной памятью и файлами, хранящимися на компьютере.
Это делает обнаружение такого червя, как Thunderstrike 2, чрезвычайно трудным.
При этом специфика атаки позволяет осуществить ее даже для устройств, не подключенных к Интернету, говорит Кова:
Допустим, у вас есть завод по производству центрифуг для переработки урана, который, естественно, не подключен ни к каким сетям.Исследователь вспоминает знаменитого червя Stuxnet, который атаковал иранские ядерные объекты и распространялся с помощью USB-накопителей (мы публиковали исследование уязвимостей промышленных систем управление).Но люди приносят свои ноутбуки или внешние накопители и, возможно, подключают их к внутренней сети через Ethernet для передачи данных.
Эти твердотельные накопители имеют дополнительное ПЗУ, которое потенциально может быть заражено.
Если речь идет о хорошо защищенной сети, то вряд ли там будет использоваться WiFi; все подключено через адаптеры Ethernet. У них также есть Option ROM, прошивка которого может быть заражена.
Тогда злоумышленники использовали уязвимости нулевого дня в Windows, что оставило специалистам возможность отследить атаку.
«Все знают, куда смотреть в таких случаях», — говорит Кова.
А вот червь в прошивке – совсем другое дело, ведь прошивка сама контролирует то, что видит в ней операционная система (а значит, червь может перехватывать соответствующие запросы и выдавать в ответ «чистые» копии кода).
Производители прошивок могли бы повысить безопасность своей продукции, если бы начали криптографически подписывать программное обеспечение и его обновления, кроме того, устройства, работающие с использованием этой прошивки, должны иметь возможность проверять эти подписи.
Кроме того, было бы неплохо иметь «переключатель» чтения/записи, чтобы предотвратить несанкционированную перезапись прошивки.
Однако это поможет защититься от хакеров-одиночек, а не от специалистов, работающих на мощные спецслужбы (которые могут просто украсть мастер-ключ производителя программного обеспечения и подписать им свой вредоносный код).
Ранее появлялось в прессе информация что Агентство национальной безопасности США активно работает над взломом различных прошивок.
Исследователи предлагают производителям добавить возможность проверки контрольной суммы, которая бы показала, изменилось ли программное обеспечение после установки на компьютер.
Однако производители вряд ли сделают что-то подобное, поскольку подобные нововведения потребуют существенных изменений в архитектуре системы, а пользователи в настоящее время пока не задумываются о необходимости думать о безопасности прошивки.
В 2014 году Кова и его коллега из Легбакора Кори Калленберг обнаружили целый ряд уязвимостей прошивка, которая затрагивает до 80% всех ПК (включая продукцию Dell, Lenovo, Samsung и HP).
Впоследствии исследователи обнаружили, что подобные атаки могут осуществляться и на компьютерах Mac. Теги: #mac #Прошивки #атаки на прошивки #прошивки #червь #информационная безопасность #информационная безопасность
-
Важность Дизайна Блога
19 Oct, 24
