นักวิจัยด้านความปลอดภัยพบข้อบกพร่องที่ช่วยให้คุณสามารถแฟลช EFI Boot ROM ซึ่งเป็นส่วนประกอบที่จัดการการเริ่มต้นคอมพิวเตอร์ Apple ซึ่งเป็นอันตรายอย่างยิ่ง
ในการประชุม Chaos Computer Club ซึ่งสิ้นสุดเมื่อวานนี้ที่ฮัมบูร์ก นักวิจัยด้านความปลอดภัย Trammell Hudson ให้รายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญในคอมพิวเตอร์ Apple ทำให้สามารถเขียน EFI Boot ROM ใหม่ ซึ่งเป็นส่วนประกอบฮาร์ดแวร์ที่จัดการการเริ่มต้นคอมพิวเตอร์ หลังจากดำเนินงานด้านวิศวกรรมย้อนกลับอย่างกว้างขวาง นักวิจัยสังเกตเห็นว่าเป็นไปได้ที่จะแฟลชเฟิร์มแวร์สำหรับส่วนประกอบนี้โดยใช้อะแดปเตอร์ Thunderbolt ที่ถูกแฮ็ก
ในระหว่างขั้นตอนการเริ่มต้นระบบ เป็นไปได้ที่จะอ่านพื้นที่หน่วยความจำสำรอง (“Option ROM”) บนอะแดปเตอร์ Thunderbolt ด้วยการเชื่อมต่อ PCIe ที่ส่วนหลังรวมเข้าด้วยกัน ด้วยการปรับเปลี่ยนพื้นที่หน่วยความจำเหล่านี้ เป็นไปได้ที่จะส่งมัลแวร์เข้าไปในพื้นที่เหล่านั้น ดังที่แฮ็กเกอร์ Snare ได้แสดงให้เห็นแล้วในปี 2012 ระหว่างการประชุม BlackHat USA ในกรณีนี้ Trammel Hudson ใช้เวกเตอร์การโจมตีนี้เพื่อเขียน EFI Boot ROM ใหม่ การโจมตีนี้เรียกว่า Thunderstrike ใช้งานได้กับ Mac ที่ใช้ Intel ทั้งหมดที่มีพอร์ต Thunderbolt เหนือสิ่งอื่นใด MacBooks ทั้งหมดเปิดตัวตั้งแต่ปี 2554
แต่แล้วมันร้ายแรงมั้ยหมอ? ใช่ค่อนข้าง แน่นอนว่าคุณต้องมีสิทธิ์เข้าถึงทางกายภาพเพื่อใช้ประโยชน์จากข้อบกพร่องนี้ แต่สำหรับโจรสลัด (หรือสายลับ) ที่สามารถเอาชนะอุปสรรคนี้ได้ มันคือแจ็คพอต จาก EFI Boot ROM เราเข้าถึงเครื่องโดยทางอ้อมได้ เนื่องจากทำให้สามารถติดตั้งแบ็คดอร์ในการบู๊ตแต่ละครั้งได้ นอกจากนี้ มันแพร่ระบาดมาก: การติดเชื้อสามารถแพร่กระจายได้อย่างง่ายดายผ่านอุปกรณ์ Thunderbolt ที่ใช้ร่วมกัน (เช่น หน้าจอหรือโปรเจ็กเตอร์)
ในที่สุดแฮ็คนี้ก็ยังคงอยู่อย่างต่อเนื่อง: การติดตั้งระบบปฏิบัติการใหม่หรือการเปลี่ยนฮาร์ดไดรฟ์นั้นไม่มีประโยชน์เพราะ EFI Boot ROM นั้นเป็นอิสระอย่างสมบูรณ์ ไม่สามารถรีเซ็ต EFI Boot ROM ได้“ใครก็ตามที่ติดไวรัส EFI Boot ROM สามารถควบคุมขั้นตอนการอัพเดตได้ ดังนั้น ตัวอย่างเช่น ปฏิเสธการอัปเดตใด ๆ จาก Apple โดยอัตโนมัติ หรือที่ดียิ่งกว่านั้น ให้อนุญาตการติดตั้งก่อนที่จะเขียนทับอีกครั้ง », อธิบายผู้วิจัย.
Apple ได้รับการติดต่อจาก Trammel Hudson และได้ใช้มาตรการตอบโต้โดยการปรับเปลี่ยนขั้นตอนการเริ่มต้นระบบ ใน Mac เครื่องใหม่ การอ่าน “Option ROM” จะไม่สามารถทำได้อีกต่อไปในระหว่างการอัพเดต EFI Boot ROM การอัปเดตจะออกเร็วๆ นี้สำหรับรุ่นเก่า แต่สำหรับผู้วิจัยแล้ว วิธีการแก้ปัญหานี้ยังไม่น่าพอใจเพียงพอ เขาเชื่อว่ารุ่นเก่าจะยังคงมีความเสี่ยงอยู่เสมอ โดยบังคับให้พวกเขาเปลี่ยนกลับไปใช้การกำหนดค่าก่อนหน้า นอกจากนี้ เขาคิดว่าข้อบกพร่องล่าสุดที่เรียกว่า "Dark Jedi Coma" จะทำให้สามารถหลีกเลี่ยงมาตรการตอบโต้ของ Apple และสร้าง Thunderstrike เวอร์ชันที่สองได้
ในส่วนของเขา แทรมเมล ฮัดสันเลือกตัวเลือกอื่น เขาใช้การโจมตี Thunderstrike บน Mac ของเขาเองเพื่อปิดใช้งานการอ่าน Option ROM โดยสมบูรณ์ ซึ่งจะทำให้ Thunderstrike เป็นโมฆะ -เราเปิดประตูแล้วปิด» ขีดเส้นใต้แฮกเกอร์ ไม่ใช่โง่ แต่เป็นวิธีแก้ปัญหาเชิงเทคนิคซึ่งทุกคนไม่สามารถเข้าถึงได้ ในระหว่างนี้ คำแนะนำที่ดีที่สุดคือตรวจสอบอุปกรณ์ต่อพ่วง Thunderbolt ของคุณอย่างใกล้ชิด และอย่าเสียบปลั๊กใดๆ เข้ากับคอมพิวเตอร์ของคุณ
อ่านเพิ่มเติม:
ข้อบกพร่องด้านความปลอดภัยที่สำคัญทำให้ระบบ iOS และ Mac OS X อ่อนแอลง, วันที่ 24/02/2557
แหล่งที่มา:
วีดีโอการนำเสนอของแทรมเมล ฮัดสัน(เป็นภาษาอังกฤษ)
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
