標題: 最新Mac概念驗證攻擊程式可遠端在韌體植入rootkit病毒
本帖已經被作者加入個人空間
Alex
一級會員
Rank: 2


UID 44
精華 0
積分 242
帖子 30
威望 0
P幣 121 $
經驗 91 點
閱讀權限 20
註冊 2000-4-29
來自 UK
狀態 離線
發表於 2015-8-4 17:40  資料  個人空間  主頁 短消息  加為好友 
最新Mac概念驗證攻擊程式可遠端在韌體植入rootkit病毒

去年Hudson等人就已發現EFI的5個漏洞同時存在Dell、HP等PC以及Mac電腦韌體中。其中蘋果接獲通知後,雖然修補了其中一個,另一個修補 一半,但仍然有三個迄今尚未修補完成。研究人員解釋,之前展示對Mac韌體的數次攻擊全都需要和電腦有實際接觸,但利用最新的攻擊程式,遠端發動攻擊就能 感染Mac韌體。

安全研究人員Trammell Hudson、Corey Kallenberg與LegbaCore的Xeno Kovah等製作出一隻可感染Mac電腦韌體的rootkit概念程式,不僅能遠端感染,透過Thunderbolt介面傳播,而且難以偵測。

去年Hudson等人發現可延伸韌體介面(EFI)的5個漏洞同時存在Dell、HP等PC及Mac電腦韌體中,並分別通知廠商修補。今年一月時Hudson曾發表一隻名為Thunderstrike的概念驗證攻擊程式,可經由USB外接硬碟等裝置入侵Mac電腦韌體。根據Wired報導,蘋果接獲通知後,雖然修補了其中一個,另一個修補一半,但仍然有三個迄今尚未修補完成。

今年五月時曾有研究人員Pedro Vilaca利用這這個研究團隊所發現的韌體漏洞進行攻擊模式測試,意外發現一個可能的新漏洞,能夠讓攻擊者利用Safari或其他遠端連結方式植入rootkit。

現在Hudson等人又設計了Thunderstrike 2概念驗證攻擊程式。Hudson、Kallenberg和Kovah預計在8/6舉行的Black Hat USA大會中展示這個攻擊程式。

研究人員解釋,與針對PC的攻擊程式不同,之前展示對Mac韌體的數次攻擊全都需要和電腦有實際接觸,但利用最新的攻擊程式,駭客卻可以遠端發動攻擊,只要透過網釣郵件或網站掛馬下載到受害電腦中,就能感染Mac韌體,而且也能透過使用Option ROM的周邊裝置,像是蘋果的Thunderbolt-to-Gigabit Ethernet轉換器、或一般外接固態硬碟或RAID控制器感染其他Mac電腦。

由於一般防毒軟體著重掃瞄記憶體(RAM)及檔案,因此藏在韌體層中的Thunderstrike 2不易被偵測到。同時一般人很難發現電腦韌體的感染,使其可以緩慢而低調地廣泛散播出去。

研究人員並表示,蘋果被詢問到先前公佈的PC韌體漏洞時,卻宣稱自己的產品並沒有漏洞。媒體指出,自2011年以後大部份出貨有Thunderbolt傳輸埠的Mac電腦都可能有被感染的風險。

http://www.ithome.com.tw/news/97892

頂部
 



當前時區 GMT+8, 現在時間是 2021-2-2 09:25

    Skin By D-XITE.COM™  Powered by Discuz! 5.5.0  © 2007 Skin By D-XITE™
Processed in 0.024296 second(s), 6 queries

清除 Cookies - 聯繫我們 - PERCENT - Archiver - WAP