Menú principal

miércoles, 24 de diciembre de 2014

Mac EFI vulnerable a bootkits a través de Thunderbolt

Un ataque de tipo bootkit vuelve a tener a OS X como escenario de ataque. El congreso Chaos Communication que se celebrará la próxima semana en Alemania tendrá entre sus ponentes a un investigador que presentará un método con el que un agente malicioso podría utilizar un dispositivo Thunderbolt diseñado para inyectar un bootkit en la ROM de arranque EFI de cualquier dispositivo que se conecte a un Mac.

No es la primera vez que hablamos en Seguridad Apple sobre ataques similares que afecten al firmware y que se lleven a cabo por Thunderbolt, e incluso vimos ya cómo se podía acceder directamente a memoria para hackear los portátiles mediante la conexión Thunderbolt.

El ataque se aprovecha de un fallo antiguo en la opción ROM Thunderbolt, el cual se dio a conocer por primera vez en el año 2012, aunque a día de hoy sigue sin ser parcheado por Apple.

Con este fallo se puede escribir código personalizado en la ROM, pero el investigador mostrará un método con el cual el bootkit podría replicarse a sí mismo a cualquier dispositivo Thunderbolt adjunto, dotándole de capacidad de propagación a través de las redes. El ataque no puede ser mitigado mediante la reinstalación de OS X, o incluso intercambiando el disco duro, ¿por qué? Esto es debido a que el código alojando en una ROM está separado de la placa base. En el abstract del investigador se señala que él podría reemplazar la clave criptográfica propia de Apple con una nueva, por lo que afectaría gravemente a las actualizaciones de firmware legítimo.

Figura 1: El bug es el funcionamiento de la arquitectura Thunderbolt, como ya se avisó.

En la descripción de la charla también se puede leer que no hay hardware ni software que realice un control criptográfico en el momento del inicio sobre el firmware, por lo que una vez que el código malicioso se ha flasheado a la ROM, se puede controlar el sistema desde la primera instrucción. Las vulnerabilidades a tan bajo nivel son muy alarmantes, ya que son complejas de detectar, y en muchas ocasiones también complejas de subsanar por el proveedor. El ataque de Hudson, el investigador que ha encontrado el fallo, requiere de acceso físico, pero su capacidad y su posibilidad de propagación hace que sea realmente peligroso.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares