最新Mac概念驗證攻擊程式可遠端在韌體植入rootkit病毒
2015-08-04 17:40:25 / 天氣: 強颱將至
/ 心情: 鬱悶
/ 個人分類:資安
去年Hudson等人就已發現EFI的5個漏洞同時存在Dell、HP等PC以及Mac電腦韌體中。其中蘋果接獲通知後,雖然修補了其中一個,另一個修補
一半,但仍然有三個迄今尚未修補完成。研究人員解釋,之前展示對Mac韌體的數次攻擊全都需要和電腦有實際接觸,但利用最新的攻擊程式,遠端發動攻擊就能
感染Mac韌體。
安全研究人員Trammell Hudson、Corey Kallenberg與LegbaCore的Xeno Kovah等製作出一隻可感染Mac電腦韌體的rootkit概念程式,不僅能遠端感染,透過Thunderbolt介面傳播,而且難以偵測。
去年Hudson等人發現可延伸韌體介面(EFI)的5個漏洞同時存在Dell、HP等PC及Mac電腦韌體中,並分別通知廠商修補。今年一月時Hudson曾發表一隻名為Thunderstrike的概念驗證攻擊程式,可經由USB外接硬碟等裝置入侵Mac電腦韌體。根據Wired報導,蘋果接獲通知後,雖然修補了其中一個,另一個修補一半,但仍然有三個迄今尚未修補完成。
今年五月時曾有研究人員Pedro Vilaca利用這這個研究團隊所發現的韌體漏洞進行攻擊模式測試,意外發現一個可能的新漏洞,能夠讓攻擊者利用Safari或其他遠端連結方式植入rootkit。
現在Hudson等人又設計了Thunderstrike 2概念驗證攻擊程式。Hudson、Kallenberg和Kovah預計在8/6舉行的Black Hat USA大會中展示這個攻擊程式。
研究人員解釋,與針對PC的攻擊程式不同,之前展示對Mac韌體的數次攻擊全都需要和電腦有實際接觸,但利用最新的攻擊程式,駭客卻可以遠端發動攻擊,只要透過網釣郵件或網站掛馬下載到受害電腦中,就能感染Mac韌體,而且也能透過使用Option ROM的周邊裝置,像是蘋果的Thunderbolt-to-Gigabit Ethernet轉換器、或一般外接固態硬碟或RAID控制器感染其他Mac電腦。
由於一般防毒軟體著重掃瞄記憶體(RAM)及檔案,因此藏在韌體層中的Thunderstrike 2不易被偵測到。同時一般人很難發現電腦韌體的感染,使其可以緩慢而低調地廣泛散播出去。
研究人員並表示,蘋果被詢問到先前公佈的PC韌體漏洞時,卻宣稱自己的產品並沒有漏洞。媒體指出,自2011年以後大部份出貨有Thunderbolt傳輸埠的Mac電腦都可能有被感染的風險。
http://www.ithome.com.tw/news/97892
相關閱讀:
- 鴻海數位認證 疑遭間諜盜用 (XYZ, 2015-6-17)
- 發私密照報復 Google將刪搜尋結果 (PCHANG, 2015-6-20)
- 手機就能辨真假 移民署推「查驗居留證APP」 (GO, 2015-6-21)
- 7月1日多一秒 全球電腦系統恐當機 (PC, 2015-6-21)
- 慎防網路勒索 趨勢科技呼籲盡速更新Adobe Flash (P11052, 2015-7-13)
- 連網車可遠端熄火 駭客:數十萬車有危險 (翱翔, 2015-7-22)
- 移除「復仇式色情」搜尋 微軟受理申請 (101, 2015-7-23)
- Android有嚴重安全漏洞 95%設備受影響 (鎖螺絲, 2015-7-28)
- 美國聯合航空遭到駭客入侵 (ialxn363, 2015-7-30)
- 匿名者癱瘓教部網站 預告:這只是開始... (XYZ, 2015-8-02)
論壇模式
推薦
收藏
等級(2)
編輯
管理
查看(456)
評論(0)
TAG:
Mac
遠端
韌體
rootkit
病毒
資安