通过结合Mac OS X上的一系列缺陷,研究人员首次创建了一种能够逐渐感染苹果电脑EFI Boot ROM的蠕虫病毒。幸运的是,最近的补丁部分抵消了这种攻击。目前…
三位安全研究人员——Trammel Hudson、Xeno Kovac 和 Corey Kallenberg——利用 Black Hat 2015 会议展示了一种针对 Mac 计算机的特别有害的恶意软件。称为“Thunderstrike 2”,这是该攻击的更复杂版本雷击,由 Trammel Hudson 于 2014 年 12 月提出。这允许使用受感染的 Thunderbolt 以太网适配器重写计算机的 EFI Boot ROM,从而获得对设备的完全且永久的控制。
《雷霆一击2》更进一步。通过结合最近在 Mac OS 上发现的四个漏洞一旦周期开始,蠕虫就会从一个固件移动到另一个固件,而在操作系统级别上是不可见的。因此,它的传播几乎是看不见的并且难以阻止。这是一个简短的演示视频:
本案中特别令人惊讶的是,三位研究人员利用的 EFI/UEFI 漏洞并不新鲜。有些甚至可以追溯到 2007 年。此类漏洞不仅在 Mac 计算机上遇到,在其他平台上也遇到,因为“EFI/UEFI/BIOS 源代码看起来非常相似”,研究人员强调。
然而,尽管一些制造商很快就解决了这些漏洞,但他们认为,苹果公司的响应速度并没有真正出色。直到最近,去年六月,苹果品牌终于发布了修补部分修复了与 EFI Boot ROM 相关的缺陷。因此,在已打补丁的 Mac OS X 计算机上,Thunderstrike 2 攻击将不起作用。
然而,攻击的某些方面仍然具有相关性。特别是,Thunderbolt 以太网适配器的传播向量仍然有效。这三位研究人员相信,通过利用 2013 年以来出现的另一个漏洞(“King's Gamit”),他们可以快速找到苹果补丁的解决方案。他们计划在明年 10 月举行的 Hack In The Box 新加坡会议上展示概念验证。
另请阅读:
我们的 Black Hat 和 DEF CON 拉斯维加斯文件
来源:
博客笔记来自赛诺·科瓦斯(Legbacore)
