Как известно компьютеры с Mac могут «подцепить» вредоносную программу «буткит» (Bootkit), способную внедриться в операционную систему по интерфейсу Thunderbolt, через подключенные устройства. Об этом сообщил портал Хакер.ру ссылаясь на разработчика Треммелла Хадсона, который обнаружил «косяк».
29 декабря этого года тема новой атаки, получившая название Thunderstriker, будет главной на компьютерном форуме «ChaosCommunicationCongress», который пройдет в немецком Гамбурге. Главной темой лекций станет — «БуткитыEFI для AppleMacBook».
Программист утверждает, что «буткиты» проникают на компьютер через модификации ThunderboltOptionROM, обходя проверку криптографической подписи в интерфейсе прошивки EFI, когда обновляется ПО Mac. Интерфейс EFI в свое время заменил старенький BIOS на новых компьютерах.
Вредоносный «буткит» способен успешно пережить замену HHD и переустановку OSX. Мало того, он может противостоять удалению программным обеспечением. Он может «размножаться», передаваясь от ноутбука к ноутбуку, тем самым инфицируя устройства Thunderbolt через зараженный компьютер.
Также Хадсон отметил, что во время загрузки ROM не происходит никакого криптографического контроля. А это означает, что после перепрошивки «материнки» буткит способен контролировать весь компьютер с момента его включения, причем удалить его стандартными способами невозможно. Буткит использует SMM, виртуализацию и другие ухищрения, не давая себя обнаружить.
Созданный буткит способен заменить RSA-ключи от Apple в ROM, предотвращая возможные попытки обновить прошивку.
Об уязвимости в ThunderboltOptionROM говорят уже больше двух лет. Сегодня разработан эксплуатирующий баг, присутствующий в различных устройствах.
