Thunderstrike es un bootkit que se comporta como un gusano. No es un virus aunque a veces se comporta como tal. El método de ataque de Thunderstrike original requería de acceso físico al ordenador, pero en una segunda prueba de concepto, creada por sus autores originales, Trammell Hudson y Xeno Kovah, ésta infección puede realizarse a través de un instalador malicioso proporcionado a través de una descarga desde un sitio inseguro o enviado como archivo a través de un correo electrónico. Para que se produzca la infección es necesario que el usuario ejecute el archivo en cuestión.
Thunderstrike 2 es todavía una prueba de concepto creada por ambos investigadores de seguridad, y por lo tanto, pese a la repercusión mediática, no es una vulnerabilidad explotada de forma abierta en internet. Hasta dentro de 2 días en la conferencia de seguridad Black Hat en Estados Unidos no se compartirán más detalles de Thunderstrike 2, lo que no implica que se libere información para que cualquiera pueda utilizar este vector de ataque. De hecho, y esto es algo de lo que no se hace referencia en muchos artículos publicados al respecto de Thunderstrike 2, no hay software malicioso “ahí fuera” que se aproveche de este problema, lo que no quiere decir que Apple no deba solucionar los problemas asociados a la vulnerabilidad. Incluso, al respecto de la vulnerabilidad original Thunderstrike, solo hay pseudo-código en las presentaciones de Trammell Hudson que permitiría a un especialista de seguridad muy experimentado obtener información práctica, pero no ha ofrecido información como para que se cree una solución para un script automático. Trammell Hudson está abierto a discutir sobre el uso de la prueba de concepto original de Thunderstrike, pero supuestamente pone limitaciones al conocimiento compartido y sobre todo, con quién lo comparte.
El código de Thunderstrike y Thunderstrike 2 está basado en una investigación de la empresa LegbaCore donde Kovah descubrió posibles vías de infección a través de agujeros de seguridad en la gestión de firmware en diferentes fabricantes de ordenadores como Dell, HP, Lenovo, Samsung además de otros fabricantes de PCs y también Apple. Al menos 5 de los 6 problemas relacionados con este vector de ataque son aplicables a Apple ya que la compañía de Cupertino utiliza estándares de referencia para la gestión de firmwares.
Apple fue notificada al respecto del ataque original, Thunderstrike, y ha solucionado uno de los problemas de seguridad desde OS X 10.10.2 Yosemite, parcialmente solucionado un segundo, con lo que quedan 3 (y medio) por solucionar.
Thunderstrike 2 realmente se distribuye a través de accesorios Thunderbolt infectados. Este bootkit reescribe el firmware de estos dispositivos En su Option ROM para que cuando se conectan a un segundo Mac, lo infecten y el propio Mac vuelva a infectar otros periféricos similares, con lo que una segunda medida de seguridad es no utilizar accesorios Thunderbolt de terceros salvo los nuestros, que técnicamente deberían estar controlados y no haberse conectado a otros ordenadores.
Dispones de información del ataque original en una serie de preguntas y respuestas bastante clasificadoras en la página web de Trammell Hudson.
