Thunderboltを介しMacのEFIを書き換え、マルウェアを潜ませるThunderstrike手法に、更に他のMacへ感染を広げることが出来る「Thunderstrike 2」が公開される。

スポンサーリンク

 Thunderboltを介してMacのファームウェアを書き換え、削除不可能なマルウェアを潜ませる「Thunderstrike」の新たな手法が公開されています。詳細は以下から。

Thunderstrike2-Hero2


 今年初めドイツのハッカー集団 カオス・コンピュータ・クラブで「Thunderboltに接続したOption ROMからMacのEFIファームウェア脆弱性を利用して書き換えられたEFIはOS Xを再インストールしても消えること無く、Macのハードウェアの制御などが可能になる」という攻撃手法”Thunderstrike”を公開し話題になりましたが、

関連記事

 BIOSレベルのセキュリティを研究しているXeno Kovahさんが設立したLegbaCoreが複数の脆弱性を利用したThunderstrikeの新手法”Thunderstrike 2″を考案しデモ動画を公開して注意を促しています。

デモ

 ”Thunderstrike 2″は実際にMacにアクセスしなければいけないThunderstrikeと異なり、悪意のあるWebサイトやメールからダウンロードしたアプリなどから感染させることが出来、以下の様な流れでマルウェアを感染させていくそうです。

  1. あるサイトから悪意のあるアプリをダウンロード
  2. アプリにはOS X 10.10.4 Yosemiteでも使用可能なroot権限昇格の脆弱性を使用
  3. アプリを起動させMac(1)のBIOS(EFI)をアンロックし書き換え
  4. 次にGigabit EthernetなどのThunderbolt アダプタのOption ROMを書き換え
  5. Mac(1)に接続してあったThunderboltアダプタを新しいMac(2)へ接続
  6. Mac(2)を起動するとカーネルが起動する前にOption ROMが起動
  7. Mac(2)がS3 Sleepに入り復帰する際にEFIのロックが外れる脆弱性を利用しMac(2)に感染
  8. 5~7の手順をMac(3), (4)…に繰り返すことで感染を広げる

 これらのサイクルはThunderboltアダプタなどを介して広まるためKovahさんは「(悪意のある攻撃者が提供する)非常に安価なデバイスからこの手法に感染し、人々が気が付かないうちに感染が広まる」可能性があると指摘しています。

Thunderstrike2-rootkit-Feature

When another machine is booted with this worm-infected device inserted, the machine firmware loads the option ROM from the infected device, triggering the worm to initiate a process that writes its malicious code to the boot flash firmware on the machine. If a new device is subsequently plugged into the computer and contains option ROM, the worm will write itself to that device as well and use it to spread. […] “People are unaware that these small cheap devices can actually infect their firmware,” says Kovah.

[Researchers Create First Firmware Worm That Attacks Macs – WIRED]

 この手法は5つの脆弱性を利用[1, 2]しているそうで、Kovahさんらは既に一連の脆弱性をAppleに通知しているそうですが、Appleは現在のところ2つの脆弱性を修正しただけで依然3つの脆弱性が修正されずに残っているそうです。

Kovah and Hudson have notified Apple about the Thunderstrike 2 vulnerabilities, but thus far, Apple’s only fixed one of five security flaws and introduced a partial fix for a second.
Three of the vulnerabilities have not yet been patched, but it’s likely Apple is working to get the flaws fixed in an upcoming security update.

[First Firmware Worm Able to Infect Macs Created by Researchers – Mac Rumors]

 KovahさんはWIREDの取材に答え、この詳細を報告し以上の様な動画も公開しているので、興味がある方は関連リンクからWIREDへどうぞ。

関連リンク: