Algunos computadores de Apple son vulnerables a un ataque de firmware que podría instalar un malware de difícil remoción, de acuerdo con una investigación presentada durante la conferencia de cyber seguridad Black Hat 2015. Foto: Computerworld / IDG

Algunos computadores de Apple son vulnerables a un ataque de firmware que podría instalar un malware de difícil remoción, de acuerdo con una investigación presentada durante la conferencia de cyber seguridad Black Hat 2015. Foto: Computerworld / IDG

Thunderstrike 2, el ataque al que las Mac deben temerle

Algunos computadores de Apple son vulnerables a un ataque de firmware que podría instalar un malware de difícil remoción, de acuerdo con una investigación presentada durante la conferencia de cyber seguridad Black Hat 2015. Foto: Computerworld / IDG

Ha sido creada una nueva versión de un método de ataque al firmware en los ordenadores de Apple los hace vulnerables a un malware de difícil detección sin necesidad de que el computador esté conectado a una red, según una presentación de la conferencia de cyber seguridad Black Hat.

La nueva investigación destaca las debilidades actuales en el software de bajo nivel que se ejecuta en todos los equipos antes de que un sistema operativo sea instalado.

La información llega de los investigadores Xeno Kovah y Corey Kallenberg, fundadores de LegbaCore, y Trammell Hudson, de Two Sigma Investments. Ellos mostraron a principios de este año cómo podrían infectar el firmware de un Mac con malware tras conectarle dispositivos maliciosos utilizando el puerto Thunderbolt, interfaz de transferencia de datos de alta velocidad nativa de los dispositivos de Apple. Este ataque fue apodado Thunderstrike.

La nueva versión, conocida como Thunderstrike 2, es un ataque que perfecciona las características de su antecesor, ya que puede propagarse a otras máquinas a través de periféricos removibles.

El ataque utiliza varias vulnerabilidades en el firmware utilizado por Apple. La compañía ha parchado algunas de estas fallas en junio, pero algunas permanecen, según explica Hudson en su blog.

En teoría, el firmware de Apple no debería poder modificadrse o reescribirse. Este tipo malware es particularmente peligroso porque se aloja dentro de firmware, y los productos de seguridad no comprueban la integridad de firmware. Dicho de otro modo, los usuarios tendrían ni idea de que algo ha sido manipulado.

El ataque Thunderstrike 2 utiliza un ‘exploit’ con privilegios locales de raíz que carga un módulo del kernel y le da acceso a la memoria en bruto, de acuerdo con un video de presentación de dos minutos publicado por los investigadores en YouTube.


Video: YouTube. Canal: LegbaCore.

En algunos casos, el código de ataque puede desbloquear de inmediato y volver a escribir el firmware de la flash de arranque. En otros casos puede tomar ventaja de un problema cuando un equipo se pone en modo de reposo y luego reanuda la marcha, un problema que ha sido explorado en otra investigación y que afectaría principalmente a modelos anteriores de Mac.

El malware puede escribirse en las opciones de ROM de los periféricos extraíbles de Thunderbolt. Si un periférico infectado se inserta en otro Mac, las opciones de ROM se ejecutan antes de los lanzamientos del kernel del sistema operativo.

En este punto, sin embargo, no puede alterar el firmware del producto. Es necesario esperar a que el equipo entre en modo de reposo y vuelva nuevamente a su estado de actividad regular. Después de que eso ocurre, el flash de arranque ya no está protegido, y Thunderstrike 2 puede escribirse en el firmware.

"Una vez instalado en el flash de arranque, es muy difícil de eliminar, ya que controla el sistema desde la primera instrucción ejecutada en el arranque", tal como se indica en el vídeo. "Esto incluye las claves para la actualización del firmware".

Este malware no podrá ser removido ni con la reinstalación del sistema operativo ni con un reemplazo del disco duro.

El ataque se podría utilizar para llegar a ordenadores que han sido aislados intencionalmente por razones de seguridad. Por ejemplo, un Mac podría estar infectada usando un ataque basado en web. A continuación, el código de Thunderstrike 2 podría infectar un periférico extraíble por el puerto Thunderbolt. Si a continuación se inserta este dispositivo en una máquina aislada y sin conexión a Internet, ese computador será infectado.