Intel publica una herramienta para detectar Dark Matter en tu MacBook

La semana pasada Wikileaks hizo una publicación que ha sorprendido a muchos y a otros, no tanto. Vault 7 describe muchas de las herramientas y técnicas de hacking que, supuestamente, están a disposición de la CIA. Este hecho ha dejado a las empresas de tecnología en busca de soluciones y ha planteado preguntas sobre qué productos y servicios están en mayor riesgos. Seguramente, la noticia seguirá trayendo más información con el paso del tiempo, ya que al parecer es solo una de las entregas previstas. 

Por otro lado, Intel Security ha lanzado una nueva herramienta para asegurarse de que el MacBook no es vulnerable a alguna de las técnicas comentadas en la filtración. De acuerdo con los documentos, la CIA habría desarrollado un rootkit EFI para el MacBook. El rootkit se llamaría DarkMatter y reemplazaría la BIOS en un MacBook y ejecutaría código malicioso en un entorno privilegiado. Los rootkits son piezas bastante avanzadas de malware y se encuentran diseñadas para evitar la detección. 

Figura 1: Dark Matter un rootkit para MacBook

La publicación de Intel viene sólo un par de días después de que Apple emitiera una nota a los usuarios indicnado que resolvió muchos de los errores y vulnerabilidades que habían surgido y se explicaban en los documentos. El movimiento de Intel aportará otra solución a la amplia gama de problemas que han surgido desde que Wikileaks publicase estos datos. La organización ha comentado que se publicarán más detalles sobre los 0days de la CIA hasta que se hayan parcheado y se pueda dar un mayor nivel de detalle, estando los usuarios ya protegidos.

Thunderstrike: Bootkits en Mac usando Thunderbolt

ThunderStrike

Se había anunciado hace unos días que en el Chaos Computer Congress de este año se iba a presentar una nueva generación de bootkits para equipos Mac que se podrían instalar usando el dispositivo Thunderbolt. Los riesgos de la tecnología Thunderbolt se avisaron hace mucho tiempo, nada más publicarse, y hemos visto previamente ataques a la memoria vía Thunberbolt para saltarse el login, y hasta formas de introducir rootkits en OS X usando Thunderbolt - también de los mismos investigadores -. 

Ahora, los límites de estos ataques dan un paso más allá y son capaces de manipular vía EFI (Extensible Firmware Interface) la ROM programable del sistema y poner un bootkit, o lo que es lo mismo, un software malicioso que se ejecuta antes de arrancar el sistema operativo. Los investigadores, que han abierto una página web con toda la información sobre Thunderstrike, son capaces de saltarse a través de Thunderbolt, todos los controles del sistema, para llegar a manipulara y re-escribir el firmware del equipo con un nuevo programa.

Figura 1: Equipo MacBook infectado vía Thunderbolt con un bootkit que reemplaza la firma del SecureBot

En su prueba de concepto, cambiaron las claves RSA de Apple por unas propias, evitando que nadie pueda instalar ningún programa en el equipo sin que venga firmado por ellos. Este ataque no se conoce in the wild, pero por ahora no parece que haya ninguna solución, así que habrá que esperar a ver si Apple provee de alguna protección. Mientras tanto, la única protección es evitar que nadie conecte un dispositivo que no sea de confianza a tu equipo.

Mac EFI vulnerable a bootkits a través de Thunderbolt

Un ataque de tipo bootkit vuelve a tener a OS X como escenario de ataque. El congreso Chaos Communication que se celebrará la próxima semana en Alemania tendrá entre sus ponentes a un investigador que presentará un método con el que un agente malicioso podría utilizar un dispositivo Thunderbolt diseñado para inyectar un bootkit en la ROM de arranque EFI de cualquier dispositivo que se conecte a un Mac.

No es la primera vez que hablamos en Seguridad Apple sobre ataques similares que afecten al firmware y que se lleven a cabo por Thunderbolt, e incluso vimos ya cómo se podía acceder directamente a memoria para hackear los portátiles mediante la conexión Thunderbolt.

El ataque se aprovecha de un fallo antiguo en la opción ROM Thunderbolt, el cual se dio a conocer por primera vez en el año 2012, aunque a día de hoy sigue sin ser parcheado por Apple.

Con este fallo se puede escribir código personalizado en la ROM, pero el investigador mostrará un método con el cual el bootkit podría replicarse a sí mismo a cualquier dispositivo Thunderbolt adjunto, dotándole de capacidad de propagación a través de las redes. El ataque no puede ser mitigado mediante la reinstalación de OS X, o incluso intercambiando el disco duro, ¿por qué? Esto es debido a que el código alojando en una ROM está separado de la placa base. En el abstract del investigador se señala que él podría reemplazar la clave criptográfica propia de Apple con una nueva, por lo que afectaría gravemente a las actualizaciones de firmware legítimo.

Figura 1: El bug es el funcionamiento de la arquitectura Thunderbolt, como ya se avisó.

En la descripción de la charla también se puede leer que no hay hardware ni software que realice un control criptográfico en el momento del inicio sobre el firmware, por lo que una vez que el código malicioso se ha flasheado a la ROM, se puede controlar el sistema desde la primera instrucción. Las vulnerabilidades a tan bajo nivel son muy alarmantes, ya que son complejas de detectar, y en muchas ocasiones también complejas de subsanar por el proveedor. El ataque de Hudson, el investigador que ha encontrado el fallo, requiere de acceso físico, pero su capacidad y su posibilidad de propagación hace que sea realmente peligroso.