Xuất hiện Bootkit đầu tiên trên OS X

WhiteHat News #ID:1368

WhiteHat Support
04/06/2014
0
110 bài viết
Xuất hiện Bootkit đầu tiên trên OS X
Một nhà nghiên cứu Mỹ mới đây phát hiện loại Bootkit đầu tiên trên thế giới nhằm vào hệ điều hành OS X, có thể thay đổi firmware và mở backdoor vĩnh viễn trên hầu hết các dòng máy Mac sản xuất từ năm 2011 trở lại đây.

1490893140thunderstrike-640x360.jpg

Bootkit là loại mã độc có khả năng thay thế firmware có nhiệm vụ khởi động (boot) máy tính Mac. Một khi được cài đặt, mã độc này sẽ chiếm quyền kiểm soát hệ thống ngay từ bước đầu tiên, cho phép mã độc qua mặt mật khẩu của firmware cũng như mật khẩu người dùng nhập để giải mã ổ cứng, từ đó cài backdoor lên hệ điều hành trước cả khi hệ điều hành hoạt động. Do mã độc hoạt động độc lập với hệ điều hành và ổ cứng nên không bị tiêu diệt ngay cả khi người dùng format ổ hay cài lại hệ điều hành. Mã độc thậm chí thay thế cả chữ ký số mà Apple dùng để đảm bảo chỉ có firmware hợp lệ chạy được trên máy Mac, nên không có nhiều cách để diệt malware này. Đây là lần đầu tiên một mã độc như thế này được tìm ra nên chưa có cách nào để phát hiện.

Malware được đặt tên là Thunderstrike do lây nhiễm qua các thiết bị kết nối vào giao diện Thunderbolt của máy Mac. Khi được cắm vào máy Mac đang trong quá trình khởi động, thiết bị sẽ tiêm một Option ROM vào giao diện firmware mở rộng (extensible firmware interface - EFI) - firmware có nhiệm vụ khởi động chế độ điều hành hệ thống của máy Mac và khởi chạy các chức năng cấp thấp trước khi tải hệ điều hành. Option ROM tiêm vào sẽ thay thế key mã hóa RSA mà máy Mac dùng để đảm bảo chỉ có firmware hợp lệ được cài đặt. Từ đây, Thunderbolt có thể cài firmware độc hại khó lòng bị gỡ bỏ nếu không có key thay thế.

Mặc dù kỹ thuật này đòi hỏi tin tặc phải tiếp cận vật lý với thiết bị nhưng yếu tố này không phải quá khó khăn để thực hiện trong nhiều trường hợp. Các tài liệu do Edward Snowden công bố cũng cho thấy mật vụ của Mỹ đã can thiệp vào các thiết bị được chuyển tới cho các tổ chức nằm trong diện theo dõi và cài vào đó firmware bị thay đổi.
Để tiến hành tấn công, tin tặc chỉ cần khởi động lại máy Mac đang cắm sẵn thiết bị Thunderbolt. Mật khẩu firmware, mật khẩu mã hóa ổ đĩa và mật khẩu người dùng không thể ngăn được tin tặc vì Option ROM được tải trước cả những biện pháp bảo mật nói trên.

Nhà nghiên cứu Trammell Hudson, người phát hiện ra Thunderstrike, cho biết Apple đang tiến hành vá một phần lỗ hổng cho phép tin tặc tấn công Thunderstrike bằng cách không cho phép các bản Option ROM được tải trong quá trình cập nhật firmware. Hiện Apple đã bắt đầu phát hành bản cập nhật cho các dòng máy MAC Mini và iMac Retina 5k, đồng thời lên kế hoạch phát hành rộng rãi hơn trong thời gian tới.

Nguồn: Softpedia
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên