最近安全研究员发现一个不常见的恶意软件正在利用苹果的雷电接口(Thunderbolt port)进行攻击苹果用户电脑。
安全专家 Trammell Hudson 在 每年一度的德国汉堡的Chaos 计算机大会上(30C3)上演示了这种攻击。结果表明,攻击可能会重写 Mac的雷电接口的固件。
这种攻击,被称为“雷击”,实际上利用了2012年发现的一个没被修复的漏洞。”雷击“通过在雷电接口的启动ROOM中重写恶意代码来影响苹果的EFI接口(Extensible Firmware Interface)。
据研究员宣称,这种攻击非常地危险,用户很难检测到这种攻击,甚至重装系统都无效,因为恶意代码已经被写到系统的独立ROM中去。
由于这种启动ROM是独立于操作系统,重装系统不能够移除它。它不仅独立于硬盘,它是存在于系统级硬件中。
Hudson 也演示他可以替换苹果的密钥,这会导致正确的固件更新。
Trammell Hudson说,“由于没有硬件和软件对于固件启动时的密钥进行检测,这会导致恶意代码被写到ROM中,它会控制系统的第一个指令。”它会使用SMM和其它技术避免被检测。
另外,为了在启动ROM中写入自定义的代码,Hudsong的演示还提到bootkit可以复制自身到接入的雷电接口设备上,会导致跨网络的扩散。
简而言之,攻击者可以使用雷电接口的这个漏洞安装bootkit,会导致任意接入到雷电接口的设备感染。
你可以查看这个完整视频和这个博客。
据Hudson所知,目前没有大规模的Mac 固件bootkit在传播中,目前只有POC代码,然而,我们可以确定的是要感染这种恶意软件需要物理接触。
因此,普通的用户不用担心。
苹果已经在最新的Mac mini和iMack中修复这个漏洞。
【原文:thunderstrike-infecting-apple-macbooks 翻译:安全脉搏wcc526】
本文作者:wcc526
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/3966.html