Thunderboltを介してMacのファームウェアを書き換え、削除不可能なマルウェアを潜ませる「Thunderstrike」の新たな手法が公開されています。詳細は以下から。
今年初めドイツのハッカー集団 カオス・コンピュータ・クラブで「Thunderboltに接続したOption ROMからMacのEFIファームウェア脆弱性を利用して書き換えられたEFIはOS Xを再インストールしても消えること無く、Macのハードウェアの制御などが可能になる」という攻撃手法”Thunderstrike”を公開し話題になりましたが、
関連記事
- Thunderboltを利用しMacのEFIを書き換える「Thunderstrike Rootkit」手法の全容が公開される
- Apple、Thunderboltの脆弱性「Thunderstrike Bootkit」をOS X Yosemite 10.10.2で修正するもよう
- 2014年製より前のMacBookシリーズにスリープから復帰後フラッシュロムのロックが解除されてしまう脆弱性が発見される
- Macに削除不能なマルウェアをインストールする「Thunderstrike」が明らかに – ZDNet Japan
BIOSレベルのセキュリティを研究しているXeno Kovahさんが設立したLegbaCoreが複数の脆弱性を利用したThunderstrikeの新手法”Thunderstrike 2″を考案しデモ動画を公開して注意を促しています。
A video by Trammell Hudson @qrs of #Thunderstrike2 spreading OS->boot flash->OROM->other laptop boot flash is here: https://t.co/k7U3mHVZup
Obviously #Thunderstrike2 can break into SMM and then do all the sort of fun things we showed in our past research http://t.co/NdIwbO38hf
デモ
”Thunderstrike 2″は実際にMacにアクセスしなければいけないThunderstrikeと異なり、悪意のあるWebサイトやメールからダウンロードしたアプリなどから感染させることが出来、以下の様な流れでマルウェアを感染させていくそうです。
- あるサイトから悪意のあるアプリをダウンロード
- アプリにはOS X 10.10.4 Yosemiteでも使用可能なroot権限昇格の脆弱性を使用
- アプリを起動させMac(1)のBIOS(EFI)をアンロックし書き換え
- 次にGigabit EthernetなどのThunderbolt アダプタのOption ROMを書き換え
- Mac(1)に接続してあったThunderboltアダプタを新しいMac(2)へ接続
- Mac(2)を起動するとカーネルが起動する前にOption ROMが起動
- Mac(2)がS3 Sleepに入り復帰する際にEFIのロックが外れる脆弱性を利用しMac(2)に感染
- 5~7の手順をMac(3), (4)…に繰り返すことで感染を広げる
これらのサイクルはThunderboltアダプタなどを介して広まるためKovahさんは「(悪意のある攻撃者が提供する)非常に安価なデバイスからこの手法に感染し、人々が気が付かないうちに感染が広まる」可能性があると指摘しています。
When another machine is booted with this worm-infected device inserted, the machine firmware loads the option ROM from the infected device, triggering the worm to initiate a process that writes its malicious code to the boot flash firmware on the machine. If a new device is subsequently plugged into the computer and contains option ROM, the worm will write itself to that device as well and use it to spread. […] “People are unaware that these small cheap devices can actually infect their firmware,” says Kovah.
[Researchers Create First Firmware Worm That Attacks Macs – WIRED]
この手法は5つの脆弱性を利用[1, 2]しているそうで、Kovahさんらは既に一連の脆弱性をAppleに通知しているそうですが、Appleは現在のところ2つの脆弱性を修正しただけで依然3つの脆弱性が修正されずに残っているそうです。
Kovah and Hudson have notified Apple about the Thunderstrike 2 vulnerabilities, but thus far, Apple’s only fixed one of five security flaws and introduced a partial fix for a second.
Three of the vulnerabilities have not yet been patched, but it’s likely Apple is working to get the flaws fixed in an upcoming security update.
[First Firmware Worm Able to Infect Macs Created by Researchers – Mac Rumors]
KovahさんはWIREDの取材に答え、この詳細を報告し以上の様な動画も公開しているので、興味がある方は関連リンクからWIREDへどうぞ。
関連リンク:
- Research – LegbaCore
- Researchers Create First Firmware Worm That Attacks Macs – WIRED
コメント