1

Apple sería vulnerable al gusano Thunderstrike 2

Un gusano, cuyo nombre es “Thunderstrike 2” ataca las computadoras Apple y hace sumamente difícil el que pueda ser ubicado o detectado, ya que el malware, sin siquiera estar conectado a la red, puede infectar el computador.

Según una presentación hecha en la conferencia “Black Hat”, la investigación pone de relieve las debilidades actuales en el software de bajo nivel que se ejecuta en todos los equipos antes de cargar un sistema operativo, tal y como demostraron los investigadores Xeno Kovah y Corey Kallenberg de LegbaCore, y Trammell Hudson de Sigma Two Inversion

Ellos mostraron a principios de este año cómo podrían infectar el firmware de una Mac con malware mediante la conexión de dispositivos maliciosos utilizando Thunderbolt, interfaz de transferencia de datos de alta velocidad de Apple.

El ataque fue apodado Thunderstrike, y ya se habla de Thunderstrike 2 , un ataque que mejora en el antiguo, ya que puede propagarse a otras máquinas a través de periféricos removibles. Su ataque utiliza varias vulnerabilidades en el firmware utilizado por Apple.

La compañía Apple ha parcheado algunas de las fallas, pero algunas todavía permanecen, según escribió Hudson en su blog. En teoría, el firmware no debe ser capaz de ser modificado o reescrito.

El malware que se encuentra dentro de firmware es especialmente peligroso, ya que los productos de seguridad de Apple no comprueban la integridad del firmware, es decir, los usuarios no sabrían o tendrían idea de que ha sido manipulado. El ataque Thunderstrike 2 utiliza una raíz local que hace explotar esa carga en un módulo del kernel y le da el acceso a la memoria en bruto, de acuerdo con un video de dos minutos publicado por los investigadores en YouTube.

En algunos casos, el código de ataque puede desbloquearse de inmediato y volver a escribir el firmware y el flash de arranque. En otros casos se puede tener ventaja del problema, cuando el equipo se pone en modo de espera y luego reanuda la marcha, según daros aplicados por otro investigador.

El malware puede instalarse en las ROMs de opciones de periféricos Thunderbolt extraíbles. Si un periférico infectado se inserta en otro Mac, la ROM de opción se ejecuta antes de los lanzamientos del kernel del sistema operativo.

No se puede alterar el firmware por el momento, sin embargo tiene que esperar a que el equipo se apague y encienda de nuevo. Después de que eso ocurra, el flash de arranque no se protege más, y Thunderstrike 2 puede insertarse al firmware.

“Una vez instalado en el flash de arranque, es muy difícil de eliminar ya que controla el sistema desde el primer instrucción ejecutada en el arranque “, dice el video.

Esto incluye las claves para la actualización del firmware. La reinstalación del sistema operativo no eliminará el malware y tampoco lo hará la sustitución de la unidad de disco duro. El ataque se utiliza para llegar a los ordenadores que se han aislado deliberadamente por razones de seguridad.

Por ejemplo, un Mac podría estar infectada usando un ataque basado en web. A continuación, el código de Thunderstrike 2 podría infectar un rayo periférico. Si a continuación se inserta el dispositivo en una máquina de aire con huecos, está infectado.

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.

There are 1 comments

  1. Angélica López Meza |

    Hasta el sistema operativo que se decía libre de virus cayó en las trampas de los hackers y ahora si es verdad que no estamos seguros en ninguna situación. Yo en mi Android me protejo con la app PSafe Total porque además de cuidarme de esos virus y amenazas, también tiene otras funciones super útiles como el cofre o el antirrobo

Comments are closed.