8月4日,據國外媒體報道,網絡安全研究人員已經開發出名為“雷擊2”的固件惡意軟件,它可以遠程感染蘋果Mac電腦。即使用戶擦除硬盤數據,并重新安裝操作系統,依然無法清除它。在加拿大溫哥華舉辦的Black Hat與Def Con黑客大會上,研究人員將演示這種固件惡意軟件,它非常難以被發現和根除,以至于他們建議人們將感染的Mac丟進垃圾箱中。
當有公司宣稱他們的產品牢不可破、無懈可擊時,這就像在公牛面前揮舞紅旗進行挑釁一樣。蘋果此前宣稱,與其他存在后門的電腦相比,同樣的固件漏洞不會對Mac造成太大威脅。為此已經有網絡安全研究人員證明,他們可以利用固件惡意軟件遠程感染Mac,且這種惡意軟件很難發現和根除。
科里·卡倫博格(Corey Kallenberg)、克賽諾·科瓦赫(Xeno Kovah)以及特拉梅爾·哈德遜(Trammell Hudson)將在8月6日舉行的Black Hat與Def Con黑客大會上,演示Mac電腦遭惡意軟件“雷擊2”攻擊的過程。他們寫道:“盡管已經對Mac固件發動過數次攻擊,但與其他PC不同,所有這些攻擊都需要物理存在來執行。有趣的是,在談及先前披露個人電腦固件易遭攻擊的細節時,蘋果宣稱自己的電腦不會輕易受到攻擊。我們的演示將提供確鑿證據,證明蘋果電腦實際上容易受到許多軟件攻擊,即使固件攻擊也會影響其電腦系統。為了強調這些攻擊成功的后果,我們將展示蘋果固件惡意軟件所具備的黑暗力量。”
研究人員此前曾利用LightEater惡意軟件發動攻擊,他們發現80%的電腦固件容易受到攻擊,只有蘋果宣稱Mac不容易遭到攻擊。但科瓦赫說,這不是真的。他說:“我們在其他電腦上發現的幾乎所有攻擊,似乎都適用于Mac電腦。”實際上,研究人員稱,5/6的漏洞會影響Mac固件。
當你首次啟動電腦時,固件就會運行。它會啟動操作系統。對于蘋果電腦來說,固件被稱為可擴展固件接口(EFI)。大多數人相信,蘋果產品具有安全優勢,但研究人員將會證明:任何時候當你聽到EFI固件遭到攻擊時,它幾乎涵蓋所有的x86電腦。”攻擊者只需要幾秒鐘就可以遠程感染Mac固件。即使用戶擦去硬盤數據,并重新安裝操作系統,感染“雷擊2”的Mac也無法根除固件感染問題。
攻擊者可能通過釣魚電子郵件和惡意網站選擇感染目標。“雷擊2”可以自動在筆記本電腦之間傳播,無需通過網絡擴散。襲擊者也可以遠程甚至氣隙系統(Air-gapped)控制目標電腦,它的目的是通過感染外圍設備上的option ROM擴散。這種概念驗證性研究(POC)惡意軟件主要針對那些含有option ROM的計算機的外部連接設備,如蘋果迅雷以太網適配器,隨后感染電腦固件,并將擴散到其他連接適配器的電腦上。
當另一臺電腦通過感染“雷擊2”惡意軟件的插入裝置啟動時,其固件會從被感染的設備上加載option ROM,這會觸發惡意軟件啟動一個程序,將惡意代碼寫入到啟動閃存固件上。如果新設備隨后被插入到計算機中,并包含option ROM,該惡意軟件將自動在設備上書寫代碼,并利用其進行擴散。
隨機感染電腦的一種方法是在eBay上銷售被感染的以太網適配器,或者在工廠里感染它們。
一周前,固件安全咨詢公司LegbaCore發布了演示視頻,顯示Mac Mini由于固件被感染而無法啟動。研究人員在視頻中稱:“蘋果沒有采納英特爾的建議,采取最佳措施保護他們的固件。結果顯示Mac很容易遭到攻擊,無論是嘗試通過啟動外部媒體、重新安裝操作系統,抑或是完全改變HD/SSD,都沒有辦法啟動電腦。要想恢復這些攻擊,唯一的辦法就是使用已知干凈的固件拷貝刷新SPI Flash芯片。這種攻擊不需要物理存在,它可以通過向系統發射遠程連接發動。”
蘋果已經收到有關這個漏洞的通告,但自然不會在蘋果雷電接口(Thunderbolt)和雷電外設設備描述中談及它們。雖然蘋果6月份曾“部分修復“Mac的EFI漏洞,但研究人員稱,他們發現的其他問題仍然未打補丁。蘋果選擇不對一個漏洞執行保護措施,這將阻止攻擊者更新操作系統的代碼。
科瓦赫說:“這種襲擊的確非常難以發現,而且很難清除,在固件中運行的某些東西也難以受到保護。”重新刷新包含固件的芯片是清除嵌入固件中“雷擊2”惡意軟件的唯一方法。 在進行演示之后,研究人員有意發布一些工具,允許用戶檢查他們設備上的option ROM。但是這些工具無法檢測電腦上的啟動閃存固件。
京公網安備 11010502049343號