透過結合Mac OS X上的一系列缺陷,研究人員首次創建了一種能夠逐漸感染蘋果電腦EFI Boot ROM的蠕蟲病毒。幸運的是,最近的補丁部分抵消了這種攻擊。目前…
三位安全研究人員——Trammel Hudson、Xeno Kovac 和 Corey Kallenberg——利用 Black Hat 2015 會議展示了一種針對 Mac 電腦的特別有害的惡意軟體。稱為“Thunderstrike 2”,這是該攻擊的更複雜版本雷擊,由 Trammel Hudson 於 2014 年 12 月提出。這允許使用受感染的 Thunderbolt 乙太網路適配器重寫電腦的 EFI Boot ROM,從而獲得對裝置的完全且永久的控制。
《雷霆一擊2》更進一步。透過結合最近在 Mac OS 上發現的四個漏洞一旦週期開始,蠕蟲就會從一個韌體移動到另一個韌體,而在作業系統層級上是不可見的。因此,它的傳播幾乎是看不見的並且難以阻止。這是一個簡短的演示影片:
本案中特別令人驚訝的是,三位研究人員利用的 EFI/UEFI 漏洞並不新鮮。有些甚至可以追溯到 2007 年。“EFI/UEFI/BIOS 原始碼看起來非常相似”,研究人員強調。
然而,儘管一些製造商很快就解決了這些漏洞,但他們認為,蘋果的反應速度並沒有真正出色。直到最近,去年六月,蘋果品牌終於發布了修補部分修復了與 EFI Boot ROM 相關的缺陷。因此,在已打補丁的 Mac OS X 電腦上,Thunderstrike 2 攻擊將無法運作。
然而,攻擊的某些方面仍然具有相關性。特別是,Thunderbolt 乙太網路適配器的傳播向量仍然有效。這三位研究人員相信,透過利用 2013 年以來出現的另一個漏洞(「King's Gamit」),他們可以快速找到蘋果修補程式的解決方案。他們計劃在明年 10 月舉行的 Hack In The Box 新加坡會議上展示概念驗證。
另請閱讀:
我們的 Black Hat 和 DEF CON 拉斯維加斯文件
來源:
部落格筆記來自賽諾·科瓦斯(Legbacore)