圖片來源: 

維基共享資源;作者:Haotian0905

安全研究人員Trammell Hudson、Corey Kallenberg與LegbaCore的Xeno Kovah等製作出一隻可感染Mac電腦韌體的rootkit概念程式,不僅能遠端感染,透過Thunderbolt介面傳播,而且難以偵測。

去年Hudson等人發現可延伸韌體介面(EFI)的5個漏洞同時存在Dell、HP等PC及Mac電腦韌體中,並分別通知廠商修補。今年一月時Hudson曾發表一隻名為Thunderstrike的概念驗證攻擊程式,可經由USB外接硬碟等裝置入侵Mac電腦韌體。根據Wired報導,蘋果接獲通知後,雖然修補了其中一個,另一個修補一半,但仍然有三個迄今尚未修補完成。

今年五月時曾有研究人員Pedro Vilaca利用這這個研究團隊所發現的韌體漏洞進行攻擊模式測試,意外發現一個可能的新漏洞,能夠讓攻擊者利用Safari或其他遠端連結方式植入rootkit。

現在Hudson等人又設計了Thunderstrike 2概念驗證攻擊程式。Hudson、Kallenberg和Kovah預計在8/6舉行的Black Hat USA大會中展示這個攻擊程式。

研究人員解釋,與針對PC的攻擊程式不同,之前展示對Mac韌體的數次攻擊全都需要和電腦有實際接觸,但利用最新的攻擊程式,駭客卻可以遠端發動攻擊,只要透過網釣郵件或網站掛馬下載到受害電腦中,就能感染Mac韌體,而且也能透過使用Option ROM的周邊裝置,像是蘋果的Thunderbolt-to-Gigabit Ethernet轉換器、或一般外接固態硬碟或RAID控制器感染其他Mac電腦。

由於一般防毒軟體著重掃瞄記憶體(RAM)及檔案,因此藏在韌體層中的Thunderstrike 2不易被偵測到。同時一般人很難發現電腦韌體的感染,使其可以緩慢而低調地廣泛散播出去。

研究人員並表示,蘋果被詢問到先前公佈的PC韌體漏洞時,卻宣稱自己的產品並沒有漏洞。媒體指出,自2011年以後大部份出貨有Thunderbolt傳輸埠的Mac電腦都可能有被感染的風險。(編譯/林妍溱)


Advertisement

更多 iThome相關內容