Menú principal

miércoles, 31 de diciembre de 2014

Thunderstrike: Bootkits en Mac usando Thunderbolt

ThunderStrike
Se había anunciado hace unos días que en el Chaos Computer Congress de este año se iba a presentar una nueva generación de bootkits para equipos Mac que se podrían instalar usando el dispositivo Thunderbolt. Los riesgos de la tecnología Thunderbolt se avisaron hace mucho tiempo, nada más publicarse, y hemos visto previamente ataques a la memoria vía Thunberbolt para saltarse el login, y hasta formas de introducir rootkits en OS X usando Thunderbolt - también de los mismos investigadores -. 

Ahora, los límites de estos ataques dan un paso más allá y son capaces de manipular vía EFI (Extensible Firmware Interface) la ROM programable del sistema y poner un bootkit, o lo que es lo mismo, un software malicioso que se ejecuta antes de arrancar el sistema operativo. Los investigadores, que han abierto una página web con toda la información sobre Thunderstrike, son capaces de saltarse a través de Thunderbolt, todos los controles del sistema, para llegar a manipulara y re-escribir el firmware del equipo con un nuevo programa.

Figura 1: Equipo MacBook infectado vía Thunderbolt con un bootkit que reemplaza la firma del SecureBot

En su prueba de concepto, cambiaron las claves RSA de Apple por unas propias, evitando que nadie pueda instalar ningún programa en el equipo sin que venga firmado por ellos. Este ataque no se conoce in the wild, pero por ahora no parece que haya ninguna solución, así que habrá que esperar a ver si Apple provee de alguna protección. Mientras tanto, la única protección es evitar que nadie conecte un dispositivo que no sea de confianza a tu equipo.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares