蘋果的MAC計算機仍然可以成功地利用困擾Windows操作系統上許多PC的一些固件問題,這是由新的概念驗證蠕蟲稱為ThunderStrike 2的2。
人們認為,與PC相比,Mac計算機的系統,尤其是Mac計算機的固件更安全。但是,似乎並非完全是這樣。
ThunderStrike 2看起來與第一個墨刺相似,並且可能使用類似的攻擊向量。雷電利用MacBooks的Thunderbolt端口中的安全問題在計算機的啟動ROM中編寫自定義代碼。然後,使用感染的計算機的內部雷電接口可以通過不同的設備擴展惡意軟件。
Thunderstrike 2是由安全研究人員Xeno Kovah和Trammell Hudson開發的,Hudson也是發現第一個雷電的人。
這目標thunderstrike 2的選擇是Mac的外圍設備(例如SSD和以太網適配器)上的ROM。僅通過將被雷電2感染的設備連接到Mac計算機,而初始攻擊通過惡意網站或電子郵件發送。
雷電2的關注的主要原因之一是可自動使用惡意軟件轉移在兩個沒有兩個MAC計算機之間在同一網絡上。出於掃描惡意軟件的目的,大多數軟件也無法檢測到ThunderStrike 2,甚至蠕蟲甚至能夠在受感染計算機的重構中生存。
一旦將Mac計算機感染了Thunderstrike 2,刪除惡意軟件的唯一方法是重新刷新其固件芯片。
Thunderstrike 2的代碼基於去年Kovah Legbacore諮詢公司進行的研究。該研究能夠揭示出由聯想,惠普和戴爾等知名人士製造的計算機固件的可能漏洞。
根據Kovah的說法,在六個發現的漏洞中,有5個具有MAC計算機相同的潛力,因為包括Apple在內的計算機製造商傾向於在其產品中使用類似的參考實現。
蘋果已收到有關問題的通知,據報導已經做了一個修補程序來解決一個問題,同時也部分密封了第二個漏洞。尚未透露這些修復程序是否還包括發布OSX 10.10.2時所做的更改,以解決與ThunderStrike相關的問題,還是分別發布了修復程序。
Kovah和Hudson建議計算機製造商應在密碼上簽名固件併升級其創建的硬件,以允許身份驗證過程。 Write Protect開關還可以改善針對惡意軟件(例如Thunderstrike 2)的保護,作為允許用戶檢查計算機中的固件是否已更改的工具。
安全研究人員將在8月6日舉行的Black Hat USA安全會議上介紹他們的發現。
