Thunderstrike, el primer bootkit conocido para OS X

Asegurar tu Mac ante posibles infecciones se ha hecho un poco más complicado gracias a una nueva prueba de concepto que explota una vulnerabilidad de Thunderbolt que permite a un atacante con acceso a un Mac reemplazar el firmware del ordenador. Los Macs afectados son prácticamente todos los construidos después de 2011.

Una vez instalado el bootkit, que no es más que un malware que reemplaza total o parcialmente el firmwareque se utiliza para arrancar el ordenador, es factible controlar el Mac desde la ejecución de la primera instrucción. Esto permite sobrepasar en la práctica cualquier contraseña del Mac incluyendo la propia contraseña del firmware, la contraseña de usuario o la propia contraseña de FileVault, permitiendo la instalación de puertas traseras incluso antes de que empiece a ejecutarse el sistema operativo. Además, como es independiente al sistema operativo, el borrado del disco duro o la reinstalación del sistema no elimina el problema y de hecho, la eliminación del mismo resulta compleja ya que reemplaza la firma digital que Apple utiliza para asegurar que solo se ejecuta en el mac un firmware autorizado.

Esta prueba de concepto es la primera que aparece para la plataforma de ordenadores de Apple en esta categoría y de momento no se conocen bootkits desarrollados sobre la misma aunque tampoco hay de momento una forma de detectarlos.

El vector de infección ha sido bautizado como Thunderstrike y para ser infectado se requiere que un periférico Thunderbolt convenientemente modificado sea conectado al Mac, inyectando una ROM Opcional a la EFI, el firmware responsable de gestionar el arranque además de otras funciones y que se ejecuta antes de la carga del sistema operativo. Esta ROM opcional reemplaza la llave de cifrado RSA del Mac que asegura que solo un firmware autorizado por Cupertino puede ser instalado. A partir de este punto, un dispositivo Thunderbolt puede inyectar malware que no puede ser eliminado con facilidad por alguien que no disponga de la nueva clave RSA instalada.

Este vector de infección, no obstante, requiere un acceso físico al ordenador cosa que no es siempre posible por parte de un atacante, aunque hay múltiples escenarios en los que un descuido permitirá a alguien interesado específicamente en los datos de nuestro ordenador poder inyectar malware.

Thunderstrike fue descubierto por el investigador de seguridad  Trammell Hudson y presentada en el Chaos Communications Congress en Alemania y está construido de la misma forma que un ataque similar presentado en la Conferencia Blackhat de 2012, aunque aquel ataque era incapaz de modificar el firmware del ordenador.

Apple, por su parte, está trabajando ya en el proceso de actualizar aunque sea parcialmente el firmware de los Mac para evitar este tipo de ataque, impidiendo la ejecución ROMs opcionales durante la actualización de firmware, una medida que Hudson ha indicado que resultará efectiva para esta prueba de concepto. De hecho, Apple ya está distribuyendo esta medida en los últimos Mac Mini y el en imac 5K y planea una serie de actualizaciones de firmware que estarán disponibles pronto para los ordenadores afectados por esta vulnerabilidad.

Sin embargo para Hudson la solución abordada por Apple “no es completa” según un artículo de su blog ya que se sigue permitiendo el uso de ROMs opcionales durante el arranque normal de un ordenador.

Llegados a este punto, las medidas de seguridad al respecto son muy claras: no permitir la conexión de dispositivos Thunderbolt de terceras personas bajo ningún concepto (lo que incluyen adaptadores) y mantener controlado nuestro equipo en cualquier situación. Siendo este tipo de ataque muy personalizado en busca del control de datos y ordenadores específicos, un atacante profesional buscará el momento para aprovechar el uso de Thunderstrike en un momento en el que simplemente no tengamos control sobre nuestro ordenador.

Más información en Ars Technica