Thunderstrike 2, el primer gusano capaz de infectar tu Mac desde su firmware

Siempre asociamos virus y gusanos al sistema operativo Windows, es normal que ese sistema sea al más infectado y más atacado, pues es el sistema operativo que más usuarios utiliza. A veces nos encontramos con estos gusanos para OS X aunque no se les suele dar mayor importancia. En esta ocasión nos encontramos con un gusano creado en laboratorio, por un equipo de investigadores, que es capaz de infectar tu Mac a través de su firmware, con el consiguiente peligro que ello conlleva, siendo prácticamente imposible eliminarlo. Con Thunderstrike 2 Apple tiene un duro trabajo por delante.

Un equipo de investigadores ha creado el primero gusano que es capaz de infectar un Mac a través del firmware. Ya a principios de este años 2015 teníamos noticias de Thunderstrike  y ahora nos llega su “segunda parte”, cuando se dice que segundas partes no son buenas… ¡que razón tienen! La infección a nivel de firmware es casi imposible de quitar, se embebe en el firmware y se convierte en un malware resistente a actualizaciones de software, siendo capaz de bloquear por completo el Mac o de reinstalar cualquier cosa a su antojo.

Este “entrañable” gusano ha sido creado por el ingeniero de seguridad Trammell Hudson, que ya descubrió Thunderstrike en su momento, y por Xeno Kovah que es el propietario de la consultora de seguridad de firmware LegbaCore. La primera versión de Thunderstrike era una “demo” y se limitaba a un ataque de prueba de concepto sin un entorno real, pero esta segunda parte demuestra como funciona el gusano en un entorno real capaz de introducirse en los Mac utilizando sus vulnerabilidades.

Thunderstrike 2, a diferencia de su primera parte, es capaz de infectar cualquier Mac de forma remota a través de sitios web maliciosos o correos electrónicos, por lo que su espectro para infectar es muy amplio. Una vez se instala en un Mac, es capaz de propagarse a otros ordenadores escondiéndose en la ROM de dispositivos periféricos como el propio Thunderbolt de Apple, el adaptador Gigabit Ethernet ,discos SSD externos, controladoras RAID…. Una vez el Mac está infectado, este infecta los periféricos que se conecten al mismo, algo que parece sacado de una película de ciencia ficción donde las máquinas toman el control del planeta, pero en esta ocasión es muy real.

“Las personas no son conscientes de que estos pequeños y baratos dispositivos en realidad pueden infectar su firmware”, dice Kovah. “Podrías conseguir empezar un gusano en todo el mundo que se esté extendiendo muy bajo y lento. Si la gente no tiene conciencia de que los ataques pueden estar ocurriendo en este nivel, entonces van a tener baja la guardia y un ataque podrá subvertir por completo su sistema”.

La eliminación de este malware que se incrusta en el firmware de un Mac tendría que hacerse a nivel de hardware, por lo que puedes imaginar el peligro del mismo. Según indican los investigadores, Apple no ha hecho su trabajo lo suficiente como para solucionar las vulnerabilidades que dejan abierto este tipo de ataques. En Cupertino queda mucho aún por hacer.

“Algunos fabricantes como Dell y Lenovo han sido muy activos en tratar de eliminar rápidamente las vulnerabilidades de su firmware,” señala Kovah. “La mayoría de los otros fabricantes, incluida Apple, como se demuestra aquí, no. Utilizamos nuestra investigación para ayudar a crear conciencia de los ataques de firmware, y mostrar a los clientes lo que necesitan para mantener sus proveedores responsables de una mayor seguridad del firmware”.

Tanto Kovah como Hudson han notificado a Apple las vulnerabilidades que usa Thunderstrike 2, pero de momento los de Cupertino sólo se fijan en cinco de los fallos de seguridad e introdujeron una solución parcial otra otra. Quedan tres vulnerabilidades sin parchear, las cuales usa este gusano.

Se puede leer en el blog de Trammell Hudson que Apple ya solucionó una parte del problema mediante la actualización Mac EFI Security Update 2015-001 del pasado junio, y los puntos detectados que todabía no se han solucionado se han reportado a Apple.

Leido en: iSenaCode

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s