0:10
22/12/2014

Wszystkie komputery Apple które posiadają port Thunderbolt są narażone na poważny atak. Ktoś, komu uda się podpiąć do takiego komputera przez Thunderbolt może przejąć nad nim kontrolę. I nic nie da reinstalacja systemu operacyjnego, ani wymiana dysku twardego — wstrzyknięty złośliwy kod jest w stanie to przetrwać, a dodatkowo może infekować inne podpinane przez Thunderbolt urządzenia.

ThunderStruck

Wystarczy podpięcie złośliwego urządzenia do portu Thunderbolt

Wystarczy podpięcie złośliwego urządzenia do portu Thunderbolt

Atak umożliwia element standardu Thunderbolt o nazwie Option ROM, którego odpowiednia modyfikacja pozwala obejść podpisy kryptograficzne gwarantujące integralność procesu bootowania w firmwarze EFI (analogia BIOS-u w komputera Apple). Intruz może wstrzyknąć swój kod do ROM-u SPI flash, który znajduje się na płycie głównej, co spowoduje stworzenie złośliwego bootkita.

Jak informuje Trammell Hudson, który zamierza zaprezentować swój atak podczas konwentu 31C3:

Kiedy bootkit zostanie wstrzyknięty, może z powodzeniem ukrywać się przed programowymi metodami jego wykrycia, ponieważ kontroluje pierwszą instrukcję, jaką wykonuje system i jest wstanie kontrolować SMM, wirtualizację oraz inne techniki aby się skutecznie “chować”

Ponieważ boot ROM jest niezależny od systemu operacyjnego, ani reinstalacja OS X ani wymiana dysku twardego nie usuną zagrożenia. Co ciekawe, podatność w Option ROM Thunderbolta jest znana od ponad 2 lat (demonstracja taku tutaj, przewińcie do 54 minuty)…

Thunder Struck

Thunder Struck

Jeśli nie korzystacie z portow Thunderbolt, najlepiej będzie je sprzętowo odłączyć od płyty głównej (o ile to możliwe). Jeśli nie korzystacie z Thunderbolta, to pozostaje wam trick z lakierem do paznokci lub miętówkami …i liczyć na to, że Apple “wróci do korzeni” i wprowadzi jumpery, których odpowiednie przestawienie uniemożliwi nadpisanie ROM-u.

Przy okazji pamiętajcie o problemach z portami firewire, które również w pewnych okolicznościach, z racji umożliwiania dostępu do pamięci, również mogą pozwolić atakującemu na przejęcie kontroli nad zablokowanym komputerem.

PS. Hejterom Apple przypomnijmy, że problemy z portami dotyczą wszystkich — niedawno ujawniono bardzo poważny atak na każde urządzenie, które wyposażone jest w port USB… A na marginesie, Thunderbolta mają nie tylko Macbooki ;-)


Przeczytaj także:





39 komentarzy

Dodaj komentarz
  1. A taki był ładny, amerykański, szkoda

    • “… Ktoś, komu uda się podpiąć do takiego komputera przez Thunderbolt może przejąć nad nim kontrolę …” Czaisz? Ktoś musi fizycznie dorwać się do kompa …

    • Albo skusić ownera do podpięcia swojego sprzętu – czy to dysku zewnętrznego, czy ajfona – w tym drugim przypadku potrzebna jest tylko odpowiednio przerobiona programowo przejściówka L+ -> TB (tak, kabel thunderbolt jest oprogramowany na obydwu końcach!). W ostateczności wymyślić imitację pendrive’a na złączu thunderbolt i też podrzucić w nim malware.

    • @zbyszek trzymasz komputer przy sobie 24h/dobę pod monitoringiem?

    • A ja tu widzę przynętę w postaci promocji darmowego sprzętu elektronicznego i ławicę ryb chętnych chwycenia czegoś za friko. Dużo zależy od miejsca przeprowadzenia takiego “fishingu”… wśród złowionych płotek, zawsze może się znaleźć jakaś większa ryba, ot taki karp na przykład. W sam raz na święta.

    • Darmówka… Jeszcze ci wierszyk powiedzą.

  2. całe szczęście że mój mac ma już wykorzystany port TB na monitor :D

    • Dobre :)))

    • A czy masz pewność, że Twój monitor go nie zainfekował? ;)

    • Przypominam, że urządzenia Thunderbolt można łączyć w łańcuch :)

  3. Czyli teraz strach cokolwiek kupić z ebaya bo znowu chińczyki zhackują :)

  4. To link do pracy sprzed 2 lat opisującej analogiczny atak (w sensie: niemożliwy do kotroli/wykrycia przez system operacyjny), ale wykonywany zdalnie na kartę sieciową… https://media.blackhat.com/bh-us-12/Briefings/Brossard/BH_US_12_Brossard_Backdoor_Hacking_Slides.pdf

  5. Jak czytam te owce ktore sugeruja ze ktos musi MIEC FIZYCZNY DOSTEP zeby zainfekowac ten sprzet na ktory NIE MA WIRUSOW ;-p to az sie smiac chce – od teraz pewnie nie dajecie potrzymac znajomym sprzetu lub odpisac cos na fejsie ze strachu ^^ buahahahaha

    • Ile ty masz lat? 15?
      Wiesz ile miejsc udostepnia dostep do komputerow apple kazdemu? Gdyby ktos na mojej uczelni wpadl na pomysl uzycia tej techniki to bylaby lipa jak uj. Jezeli da sie dzieki temu umiescic keyloggera w systemie to hasla do sporej ilosci kont czlonkow uczelni szybko zostalyby przejete a od tego do narobienia im problemow droga jest bardzo krotka(majac dostep do konta mozna np. wypisac studenta z uczelni tuz przed sesja egzaminacyjna).
      Jezeli jakas firma udostepnia mac’i gosciom to tez moze byc nieciekawie. Infekowanie sprzetu potencjalnych klientow raczej nie polepszy image’u firmy. Zdenerwowany pracownik mogly takze narobic szkod od srodka.

  6. zaesze wierzyłem ze w niebezpieczniku pracują profesjonaliści. Polecam zapoznać się autorowi czy jest EFI (UEFI) bo pisanie, że jest to odpowiedniku biosu w innych komputerach to tak jak pisanie że silnik diesla to tylko w traktorze a gdzie indziej nie.

    • Dodatkowo, tytuł świdczy, że coś dotyczy komputerów Apple, po czym jest “PS.”, że jednak nie. Zagarnie aby kliki zgarnąć? Doświadczenie i wiedza autora jak i zagranie z tytułem zalaatuje mi innym serwisem, tylko trochę bardziej pajęczym.

    • Zosiek, a przeczytaj teraz ze zrozumieniem tego pe esa i artykuł. Błąd dotyczy urządzeń Apple bo można naruszyć łańcuch podpisów w bootloaderze. Wektorem ataku jest Thunderbolt. PS a przynajmniej ja go tak rozumiem nie stoi w sprzeczności a jedynie informuje czytelników, że problemy mogą pojawić się na innych platformach, bo wspierają ten sam ,,dziurawy“ standard. Póki co tylko na Apple powstał PoC.

  7. A czy atak jest możliwy poprzez oryginalną przejściówkę TB->Ethernet ?

  8. No właśnie, zmieńcie nagłówek, bo w tej chwili coraz więcej laptopów wszystkich producentów ma thunderbolty, więc sugerowanie, że zagrożone są Maci, wprowadza w błąd.

    • Zmienimy, jak pokażesz atak na inny EFI

  9. Który odważny kupi teraz maca z wystawy w supermarkecie?

    • Pierwszy punkt ataku – apple store

  10. “EFI (analogia BIOS-u w komputera Apple)”? Ktoś tu nie jest na bieżąco ze sprzętem ;) Wszystkie pecetowe płyty główne od paru lat mają UEFI, to nie jest wcale technologia specyficzna dla Apple.

  11. Mam podpieta przejsciowke na RJ-45 czyli na codien jestem podpiety do netu przez ten port. Czy atak nastepuje tylko przy fizycznym dostepie z urzyciem odpowiedniego urzadzenia czy moze tez zainfekowac przez taka przejsciowke ?

  12. POM
    czyli produkt Apple jest odporny na wszystkie wirusy a co z malware i podobnymi robalami?

  13. Niebezpieczniku!

    O co ci chodzi ? chcialem wrzuci posta z pytaniem czy jesli port ten jest podpiety pod przejsciowke na RJ-45 to czy zagrozenie jest takie samo. Widze, ze post nie przeszedl waszego “sita” Prosze o podanie powodu

  14. podobno zanurzenie w wodzie na 15 sekund, a nastepnie wlozenie do mikrofali na 2,5 minuty likwiduje problem. czekam, az ktos zrobi odpowiednia grafike i zacznie stado baranow trollowac.

  15. Ajajaj no, a był taki bezpieczny…

  16. Odłączyć od płyty głównej w Macbooku… hehe dobre :D

    • Młotkiem. Jak każdy inny sprzęt Crapple naprawiać należy.
      Przy odpowiednio umiejętnym operowaniu naprowadzaczem trzonkowym impulsator kinetyczny na pewno spowoduje oddzielenie portu Thunderbolt od płyty głównej!

  17. Z innej beczki – może napiszecie coś o ataku na ICANN?

  18. Uuuuu…. w tej cenie nie da rady. Najnowsza generacja pojdzie cenowo w gore, no bo kto za to zaplaci jak nie fanboje appla.
    Boze pamietam jak z 15lat temu znajoma kupila w USA Apple to jej mowilem ze upadla na glowe. Kupila bo byl ladny… no i tak sie pozmienialo, ze tera trzeba sie z tym gownem uzerac :(

  19. Na xp pojawiła się łatka KB2884256 – ktoś wie co ona łata?

  20. Inny, mniej drastyczny sposób na wyłączenie thunderbolta to:
    1. sudo srm -rf /System/Library/Extensions/IOThunderboltFamily.kext
    2. sudo touch /System/Library/Extensions
    3. Restart systemu.
    Czynność trzeba powtarzać po każdej aktualizacji systemu Mac OS X.
    P.S. Dziura znana jest od 2011 roku i dopiero teraz komuś udało się jakoś (jeszcze nie wiadomo jak) to wykorzystać? No i ciekawe czy dotyczy każdej wersji systemu?

  21. Ok, wygląda na to, że to inna dziura, niż tamta z 2011 roku. Tamta dotyczyła bezpośredniego dostępu do pamięci (DMA) przez urządzenie Thunderbolt i została załatana (poza tym miała wiele ograniczeń). Ta dziura wykorzystuje proces boot-owania urządzenia po wpięciu go do portu.

  22. Jeżeli warstwa fizyczna jest skompromitowana każda inna warstwa niezależnie od zabezpieczeń również musi zostać uznana za skompromitowaną. Tyle w kwestii bezpieczeństwa, ale fakt Apple powinno to załatać.

  23. Wydaje mi się, że to raczej Intel musi załatać tą dziurę, bo cała technolgia Thunderbolt jest Intela i prawdopodobnie ROM też jest ich. No i jak pisze autor powyżej – dziura dotyczy większości (jak nie wszystkich) urządzeń Thunderbolt, nie tylko Apple.

  24. Ciekawe dlaczego zawsze robi się afera jak coś dotyczy Apple. Przecież nie tylko w Makach wykorzystuje się Thunderbolt…Poza tym sama możliwość ataku jest dość ograniczona bo ktoś mi mieć fizyczny dostęp do mojego komputera, żeby podłączyć takie urządzenia. A to, że ludzie kupują okazyjnie jakieś chińskie sprzęty i później mają problemy to już inna bajka.

  25. […] Przypomnijmy jednak, że już pół roku temu Xeno wraz z Trammellem Hudsonem ujawnili ataki na Macbooki przez port Thunderbolt. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: