Back

Thunderstrike 2: eerste firmware worm die Macs viseert

In december van vorig jaar werd er met “Thunderstrike” een firmware kwetsbaarheid blootgelegd door Trammell Hudson. Destijds werd er door Apple een patch voorzien voor het probleem, nu blijkt het probleem niet volledig van de baan. Thunderstrike 2 is een “demo” malware die zich nestelt in Apple’s EFI (extensible firmware interface) en deze aantast.

Thunderstrike 2 werd ontwikkeld door Corey Kallenberg, Xeno Kovah en Trammell Hudsen, die laatste bracht ook de originele thunderstrike kwetsbaarheid naar buiten. Zij zullen de malware voorstellen tijdens de Black Hat USA meeting op 6 augustus. De drie deelden hun bevindingen al met Wired en tonen in een video what er juist gebeurd wanneer een Mac geïnfecteerd raakt.

Het onderdeel dat geïnfecteerd wordt is de firmware van een Mac. Dit is de software (ook soms bekend als BIOS, EFI en UEFI) die ervoor zorgt dat je computer opstart en je OS ingeladen wordt. Er was eerder al malware voor Macs die de firmware kon aantasten maar hier was tot voor kort altijd een fysiek contact van de “hacker” nodig. Het team onderzoekers vond een manier waarbij de “hacker” niet in de buurt hoeft te zijn voor de het systeem te infecteren en meer nog de computers hoeven zelfs niet verbonden te zijn met elkaar of het internet.

Hoe zit het dan juist? Firmware wordt meestal nooit gesigneerd door een producent en updates worden niet geïdentificeerd waardoor het niet zo moeilijk is om een weg binnen de firmware te beuken. Omdat de firmware dan ook nog eens op een lager niveau werkt dan het OS is het zo goed als onmogelijk de worm op te sporen. Eens de firmware is aangetast is het praktisch onmogelijk om je ervan te ontdoen omdat het zichzelf terug kan installeren als je de firmware update. Voor de meesten zou dit een “klaar voor de vuilbak” scenario betekenen maar daar stopt het nog niet. Het is perfect mogelijk voor Thunderstrike 2 om de malware naar een optionROM chip te schrijven van een extern apparaat of adapter, denk bijvoorbeeld aan de chip in de thunderbolt kabels. Hierdoor kan je een nieuwe computer infecteren door dezelfde adaptor te gebruiken afkomstig uit een geïnfecteerd toestel.

“People are unaware that these small cheap devices can actually infect their firmware”
-Xeno Kovah

Kovah en Kallenberg maken deel uit van Legbacore een bedrijf dat zich bezighoud met de veiligheid van firmware en Hudson is een veiligheidsingeneur bij Two Stigma Investment en degene die de Thunderstrike kwetsbaarheid ontdekte. Hun doel is om Apple en andere fabrikanten aan te sporen hun firmware beter te beveiligen voor het te laat is. Een tijd geleden melde Kovah en Kallenberg nog 5 kwetsbaarheden in de firmware aan Apple maar enkel 1 werd effectief gepatched.

 

 

About the Author /

jan_vervloet@me.com

18, from the middle of nowhere, al vele jaren steevast geïnteresseerd in technologie. "If you can't love yourself, how in the hell you gonna love somebody else?" -Ru

Reactie (1)

  • Van Hoeck

    15 september 2015

    Hoe en via welke wegen, apps of wat dan ook krijg je het binnen?

Wat is jouw mening?...