Два исследователя подготовили для конференции Black Hat, проходящей в США, доклад о разработанной ими атаке Thunderstrike 2, которая позволяет заразить загрузочную прошивку компьютеров Apple вредоносной программой. Поскольку код прошивки запускается до ядра операционной системы, ни ее переустановка, ни замена жесткого диска не избавят от червя, пишут «Открытые системы».
В теории встроенное ПО должно быть защищено от вмешательства, но исследователи нашли способ перезаписать прошивку с помощью эксплойта, который позволяет запустить модуль уровня ядра, получить в системе привилегии уровня root и прямой доступ к памяти. В некоторых случаях эксплойт может сразу перезаписать загрузочный код, а если это не удается, используется другая уязвимость, открывающаяся, когда компьютер выходит из спящего режима.
Червь также способен записываться в загрузочные микропрограммы (Option ROM) периферийных устройств, подключаемых по интерфейсу Thunderbolt. Если инфицированное устройство затем подключить к другому компьютеру, червь заразит и его прошивку, поскольку код из Option ROM запускается самым первым. Таким образом можно инфицировать даже изолированные компьютеры, специально отключенные от сетей передачи данных.
Исследователи сообщают, что уведомили Apple об уязвимостях.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.