Apple soluciona los problemas de Thunderstrike en OS X 10.11 El Capitan

Thunderstrike es un bootkit que se comporta como un gusano. No es un virus aunque a veces se comporta como tal. El método de ataque de Thunderstrike original requería de acceso físico al ordenador, pero en una segunda prueba de concepto, creada por sus autores originales, Trammell Hudson y Xeno Kovah, ésta infección puede realizarse a través de un instalador malicioso proporcionado a través de una descarga desde un sitio inseguro o enviado como archivo a través de un correo electrónico. Para que se produzca la infección es necesario que el usuario ejecute el archivo en cuestión.

Thunderstrike 2 es todavía una prueba de concepto creada por ambos investigadores de seguridad, y por lo tanto, pese a la repercusión mediática, no es una vulnerabilidad explotada de forma abierta en internet. Hasta dentro de 2 días en la conferencia de seguridad Black Hat en Estados Unidos no se compartirán más detalles de Thunderstrike 2, lo que no implica que se libere información para que cualquiera pueda utilizar este vector de ataque. De hecho, y esto es algo de lo que no se hace referencia en muchos artículos publicados al respecto de Thunderstrike 2, no hay software malicioso “ahí fuera” que se aproveche de este problema, lo que no quiere decir que Apple no deba solucionar los problemas asociados a la vulnerabilidad. Incluso, al respecto de la vulnerabilidad original Thunderstrike, solo hay pseudo-código en las presentaciones de Trammell Hudson que permitiría a un especialista de seguridad muy experimentado obtener información práctica, pero no ha ofrecido información como para que se cree una solución para un script automático. Trammell Hudson está abierto a discutir sobre el uso de la prueba de concepto original de Thunderstrike, pero supuestamente pone limitaciones al conocimiento compartido y sobre todo, con quién lo comparte.

El código de Thunderstrike y Thunderstrike 2 está basado en una investigación de la empresa LegbaCore donde Kovah descubrió posibles vías de infección a través de agujeros de seguridad en la gestión de firmware en diferentes fabricantes de ordenadores como Dell, HP, Lenovo, Samsung además de otros fabricantes de PCs y también Apple. Al menos 5 de los 6 problemas relacionados con este vector de ataque son aplicables a Apple ya que la compañía de Cupertino utiliza estándares de referencia para la gestión de firmwares.

Apple fue notificada al respecto del ataque original, Thunderstrike, y solucionó uno de los problemas de seguridad desde OS X 10.10.2 Yosemite, parcialmente solucionado un segundo, con lo que quedaban 3 (y medio) por solucionar.

  • CPU SoftwareAvailable for: OS X Yosemite v10.10 and v10.10.1, for: MacBook Pro Retina, MacBook Air (Mid 2013 and later), iMac (Late 2013 and later), Mac Pro (Late 2013)Impact: A malicious Thunderbolt device may be able to affect firmware flashingDescription: Thunderbolt devices could modify the host firmware if connected during an EFI update. This issue was addressed by not loading option ROMs during updates.

    CVE-ID

    CVE-2014-4498 : Trammell Hudson of Two Sigma Investments

Thunderstrike 2 realmente se distribuye a través de accesorios Thunderbolt infectados. Este bootkit reescribe el firmware de estos dispositivos En su Option ROM para que cuando se conectan a un segundo Mac, lo infecten y el propio Mac vuelva a infectar otros periféricos similares, con lo que una segunda medida de seguridad es no utilizar accesorios Thunderbolt de terceros salvo los nuestros, que técnicamente deberían estar controlados y no haberse conectado a otros ordenadores.

Dispones de información del ataque original en una serie de preguntas y respuestas bastante clasificadoras en la página web de Trammell Hudson.

OS X 10.11 El Capitan

En la documentación de seguridad de OS X 10.11 El Capitan, disponible en Apple, hay un apartado al respecto de Thunderstrike en el que Apple indica que el problema se ha solucionado no cargando Option ROMs durante las actualizaciones.

  • EFIAvailable for: Mac OS X v10.6.8 and laterImpact: A malicious Apple Ethernet Thunderbolt adapter may be able to affect firmware flashingDescription: Apple Ethernet Thunderbolt adapters could modify the host firmware if connected during an EFI update. This issue was addressed by not loading option ROMs during updates.CVE-IDCVE-2015-5914 : Trammell Hudson of Two Sigma Investments and snare
0 0 votos
Article Rating
Subscribe
Notify of
1 Comment
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
Wynztech
8 years ago

A mi es la parte que mas me esta gustando de OS X 10.11 el enfasis que le estan poniendo a la seguridad. De rendimiento no puedo hablar por que todos mis equipos son bastante potentes y todo me ha ido ligero siempre (ademas todos con SSD).

Pero como le estan metiendo caña al tema seguridad me esta dejando anonadado. Aun ando con la documentacion de Apple sobre SIP o Gatekeeper y desde luego el que quiera rebasarla la rebasara (quiza mas con ingenieria social que no con exploits) pero no se puede acusar a Apple de no estar por la labor.

Por mi parte sin ser maquero ni adorador de la manzana les pongo un 10 en este apartado.

Ahora solo queda enseñar al usuario a hacer un uso responsable de sus equipos. Recordad que una cadena es tan fuerte como su eslabon mas debil (en este caso casi siempre es el usuario).

Saludos

Lost your password? Please enter your email address. You will receive mail with link to set new password.

wpDiscuz
1
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x
Salir de la versión móvil