Se ha descubierto un fallo de seguridad a través del cual se puede infectar los ordenadores MacBook con rootkits de arranque, solo necesitando conectar un dispositivo malicioso en el puerto Thunderbolt.
Con el nombre de Thunderstrike, el ataque consigue instalar código malicioso en la ROM de arranque de un MacBook, que se almacena en un chip sobre la placa madre. La vulnerabilidad ha sido descubierta por el investigador de seguridad Trammel Hudson, que demostrará sus descubrimientos la próxima semana en el Chaos Communication Congress de Hamburgo.
Sin embargo no hay que esperar tanto para saber algunos detalles, ya que según la descripción de la exposición que hará en el evento, “es posible usar una opción en la ROM de Thunderbolt para eludir la comprobación los certificados criptográficos, en las rutinas de actualización del firmware EFI de Apple”, lo que permite el acceso físico a la máquina e introducir código no confiable en la ROM de placa base, permitiendo crear una nueva clase de rootkits de arranque para los MacBooks.
Debido a que el código se introduce a nivel de la ROM de la placa base, este se carga antes que el sistema operativo, dejándolo vendido a todo tipo acciones imaginables por parte de un hacker, pudiendo modificar el sistema o bien tener control remoto sobre él. Además su ubicación le otorga un gran poder, resultando muy persistente, ya que una reinstalación de OS X no corregiría el problema y no solo eso, cualquier sistema operativo que se instale en el MacBook corre riesgos de ser afectado por el software malicioso. La única manera de solucionar Thudnerstrike sería “flasheando” de nuevo la ROM.
Aparte de dejar expuesto el sistema operativo, también es capaz de bloquear las actualizaciones de firmware oficiales de Apple, ya que el rootkit puede hasta reemplazar claves criptográficas almacenadas en la ROM de la placa base, saltándose los mecanismos de seguridad. Por último hay que mencionar que tiene la capacidad de reproducirse a través de otros dispositivos que utilicen la interfaz Thunderbolt.
Este fallo de seguridad recuerda al encontrado en el propio estándar USB, que también se reproducía con tan solo conectar cualquier dispositivo que usase esa interfaz en un ordenador infectado.
Fuente | Blog de Trammel Hudson
http://www.muycomputer.com/2014/12/24/fallo-seguridad-rootkits-macbooks-thunderbolt