当前位置:安全客 >> 资讯详情

通过thunderbolt口感染MAC,种植bootkit

2014-12-24 10:33:07 阅读:0次 收藏 来源: 安全客

下周即将在德国举行的Chaos Communication Congress(CCC)大会上,一名研究人员将演示恶意攻击者利用精心编制的Thunderbolt接口设备,安装一个几乎无法删除的bootkit到任何Mac的EFI中。

t014e7960737f7c2c36.png

这一攻击由研究人员Trammell Hudson发现,利用Thunderbolt Option ROM中的漏洞实施。这一漏洞已经存在多年,首次于2012年披露但尚未提供补丁。除了编写自定义代码来引导ROM之外,Hudson将同时演示bootkit复制自身至任何连接的Thunderbolt设备进而传播至网络。

由于代码位于逻辑板上一个单独的ROM中,此类攻击并不会因为重新安装OS X甚至是更换硬盘驱动有所减弱。Hudson在演示摘要中指出,他能够更换Apple的加密密钥,阻止合法固件的更新被接受。他指出,因为在固件有效期内开机时,并不存在对硬件或软件的加密检查,因此一旦把恶意代码植入ROM,它将会按照最初的指令控制系统。它可以利用SMM以及其他方式进行隐藏躲避检测。

虽然这种漏洞非常低级却极其麻烦,因为它们难以被发现并且可以造成巨大损失。例如,之前关于EFI入侵的演示曾发现全磁盘加密系统如Apple的FileVault能够通过bootkit绕过。

尽管Hudson的攻击不要求获得物理访问权限,但攻击可以通过其他Thunderbolt设备传播这一点非常具有危险性。用户很有可能会将小型的共享设备如显示适配器毫不在意地插入电脑。


本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:http://appleinsider.com/articles/14/12/22/apples-mac-efi-found-vulnerable-to-bootkit-attack-via-rogue-thunderbolt-devices

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论