Menú principal

miércoles, 1 de agosto de 2012

Rootkits en el firmware de MacBook Air por Thunderbolt

En la pasada edición de BlackHat USA 2012, el investigador australiano Loukas K - conocido como Snare - ha realizado un prueba práctica de introducir un rootkit en el firmware EFI de un MacBook Air, haciendo uso de un adaptador ThunderBolt to Ethernet especialmente modificado. Este tipo de ataques no es nuevo, y ya se hizo hace años, también en BlackHat (2006), con un rootkit para la BIOS del sistema, pero es la primera vez en Mac.  El paper en el que se presenta se titula: "De Mysteriis Dom Jobsivs: Mac EFI Rootkits"

Una vez que se ha podido instalar un rootkit a nivel de EFI, es posible interceptar el arranque del sistema, y por lo tanto es posible acceder a las claves de descifrado necesarias para poder abrir FileVault 2.  El malware de firmware es mucho más peligroso que los bootkits - malware que cambia y reemplaza el sistema operativo por un software alternativo que toma el control desde el MBR - ya que para el segundo se puede utilizar la nueva tecnología de SecureBoot, disponible en todas las nuevas UEFI, para el primero solo se puede evitar el control físico del equipo.

Figura 1: Proceso de arranque de UEFI

Este tipo de ataques, llamados Evil Maid, fueron descritos hace mucho tiempo por la investigadora Joanna Rutkovska para poder tomar control de las passwords de TrueCrypt o cualquier otro sistema de cifrado completo de disco.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares