Взлом «макбуков» через Thunderbolt

Ноутбуки MacBook подвержены заражению исключительно устойчивыми буткитами, которые проникают в систему через устройства, подключенные по интерфейсу Thunderbolt. Относительно новый тип атаки, получившей название Thunderstrike, будет подробно обсуждаться 29 декабря 2014 года в 18:30 на хакерской конференции Chaos Communication Congress в Гамбурге. Это тема лекции «Буткиты EFI для Apple MacBook», которую подготовил хакер Трэммелл Хадсон (Trammell Hudson).

Хадсон объясняет в своём блоге, что буткит устанавливается с помощью модификации Thunderbolt Option ROM и обхода проверки криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления. Интерфейс EFI в современных компьютерах пришёл на смену старому BIOS.

Уязвимость в Thunderbolt Option ROM известна уже два с половиной года (её можно устранить, заменив всего несколько байт в прошивке). Теперь готов инструмент, эксплуатирующий баг, присутствующий в миллионах устройств.

Такой буткит способен пережить переустановку OS X и замену жёсткого диска. Он успешно противостоит попыткам удаления со стороны программного обеспечения и способен распространяться от ноутбука к ноутбуку, заражая Thunderbolt-устройства, которые подключаются к инфицированному компьютеру.

Трэммелл Хадсон говорит, что во время загрузки ROM не осуществляется никаких криптографических проверок. Таким образом, после успешной перепрошивки материнской платы буткит полностью контролирует компьютер сразу после его включения, и зловред нельзя удалить стандартными средствами. Он может использовать SMM, виртуализацию и другие техники для уклонения от попыток обнаружения.