Se había anunciado hace unos días que en el Chaos Computer Congress de este año se iba a presentar unanueva generación de bootkits para equipos Mac que se podrían instalar usando el dispositivo Thunderbolt. Losriesgos de la tecnología Thunderbolt se avisaron hace mucho tiempo, nada más publicarse, y hemos visto previamente ataques a la memoria vía Thunberbolt para saltarse el login, y hasta formas de introducir rootkits en OS X usando Thunderbolt - también de los mismos investigadores -.
Ahora, los límites de estos ataques dan un paso más allá y son capaces de manipular vía EFI (Extensible Firmware Interface) la ROM programable del sistema y poner un bootkit, o lo que es lo mismo, un software malicioso que se ejecuta antes de arrancar el sistema operativo. Los investigadores, que han abierto una página web con toda la información sobre Thunderstrike, son capaces de saltarse a través de Thunderbolt, todos los controles del sistema, para llegar a manipulara y re-escribir el firmware del equipo con un nuevo programa.
 |
| Figura 1: Equipo MacBook infectado vía Thunderbolt con un bootkit que reemplaza la firma del SecureBot |
En su prueba de concepto, cambiaron las claves RSA de Apple por unas propias, evitando que nadie pueda instalar ningún programa en el equipo sin que venga firmado por ellos. Este ataque no se conoce in the wild, pero por ahora no parece que haya ninguna solución, así que habrá que esperar a ver si Apple provee de alguna protección. Mientras tanto, la única protección es evitar que nadie conecte un dispositivo que no sea de confianza a tu equipo.
0 comentarios:
Publicar un comentario