Sécurité

Les nouveaux logiciels malveillants d’Apple sont indétectables, imparables et peuvent infecter n’importe quel appareil équipé de Thunderbolt – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les produits Apple jouissent depuis longtemps d’une réputation de sécurité supérieure par rapport aux systèmes Windows, mais une nouvelle méthode de diffusion de logiciels malveillants de preuve de concept pourrait sérieusement entacher cette réputation. L’exploit, baptisé Thunderstrike, ne peut actuellement être détecté ou supprimé par aucun processus connu sans utiliser de matériel spécialisé. Le chercheur en sécurité Trammell Hudson a montré comment utiliser un périphérique Thunderbolt pour charger ce qu’il appelle un « bootkit » via la ROM optionnelle de l’appareil.

Les ROM optionnelles sont des blocs de mémoire optionnels ou spécifiques à un périphérique qui ont été déployés pour la première fois dans les années 1980 comme moyen de stocker des programmes critiques ou de récupérer des blocs de mémoire spécifiques à un périphérique. Ils sont initialisés au début du processus de démarrage et se « connectent » souvent au BIOS pour fournir un périphérique amorçable ou un démarrage réseau. Les appareils Thunderbolt contiennent leurs propres ROM optionnelles et le matériel Apple vérifie ces zones dans le cadre de sa séquence de démarrage.

Le package d’exploit est injecté à partir de la ROM optionnelle du périphérique Thunderbolt infecté directement dans l’interface de micrologiciel extensible (EFI) du système. La documentation officielle sur la norme EFI/UEFI, illustrée ci-dessous, semble impliquer que cela est impossible, puisque le firmware est censé être verrouillé par défaut :

Thunderstrike-Injection

En théorie, les mécanismes EFI empêchent cette attaque.

Malheureusement, ce n’est pas le cas. La recherche et les tests d’Hudson indique que les ROM en option sommes chargé pendant le processus de démarrage en mode de récupération. Le seul hic, à ce stade, est qu’Apple vérifie toujours la signature du fichier EFI lui-même. Changez la taille ou le contenu du fichier, et cela échouerait à la vérification – ou si l’équipe de recherche n’avait pas mis au point une méthode pour remplacer la clé RSA publique stockée d’Apple par une clé sous leur propre contrôle.

Psssssst :  Il est temps de débrancher : les disques durs WD My Book Live touchés par un exploit de suppression de données - High-teK.ca

Injection

Une fois cette étape franchie, impossible de revenir en arrière. Sans une clé d’authentification RSA appropriée, il est impossible pour l’utilisateur final de mettre à jour le micrologiciel de l’appareil avec une image Apple standard. Toutes les tentatives de le faire échoueront l’authentification. Avec un accès aussi basique au système, il y a très peu d’attaquants ne peut pas fais. L’ensemble du système peut être surveillé, les frappes enregistrées, les visites de sites Web suivies, les données de mot de passe enregistrées. Le bootkit peut également être transmis à d’autres Coup de tonnerre périphériques s’ils sont connectés à une machine compromise.

Les attaques de « mauvaise fille » sont-elles un vecteur valide ?

La seule bonne nouvelle dans ce numéro est que l’attaque nécessite au moins une brève fenêtre d’accès physique au système. Dans la plupart des cas, ce type d’exigence limite la plupart des attaques à des exercices strictement théoriques, mais Thunderstrike est quelque peu différent. Tout d’abord, l’attaque est rapide. L’attaquant n’a pas besoin de s’asseoir devant le PC pendant plusieurs minutes, ni même de saisir des données. Branchez subrepticement un appareil Thunderbolt, maintenez le bouton d’alimentation enfoncé pendant plusieurs secondes et boum – l’attaque peut s’exécuter et s’auto-installer en quelques minutes. Selon la façon dont l’exécution est sournoise, un observateur occasionnel peut ne voir qu’un cycle de démarrage plus long que la normale.

Coup de tonnerre-1

Le modèle standard pour les attaques par accès physique repose sur l’idée de la femme de chambre maléfique – quelqu’un qui peut accéder à un système alors qu’il est stocké dans une chambre d’hôtel ou enfermé dans un coffre-fort, mais j’ose dire que la vitesse et la subtilité de ce hack en font un plus grand menace. Si vous avez déjà assisté à une conférence d’affaires ou à un événement technologique, il n’est pas rare que les gens aient des ordinateurs portables mais pas strictement surveillés, ou qu’ils laissent un système assis pendant quelques minutes pendant qu’ils utilisent les toilettes ou prennent un soda.

Psssssst :  Nouveau malware Mac découvert en utilisant un code antique pour espionner les utilisateurs - High-teK.ca

Troisièmement, et le plus effrayant, nous savons maintenant que les agences gouvernementales s’engager activement dans le type d’interception ciblée qui fait qu’une attaque comme celle-ci fonctionne. L’un des rapports divulgués par Edward Snowden a détaillé comment la NSA interceptera le matériel en route de fabricants comme Dell et HP, le modifiera avec des rootkits et des logiciels espions avant qu’il n’atteigne sa destination, puis reconditionnera l’équipement et l’expédiera en cours de route. Bien qu’il n’y ait aucun moyen de savoir à quel point ces tactiques sont répandues, nous savons que cela se produit – des exploits comme Thunderstrike valent probablement leur pesant d’or pour les diverses agences de renseignement nationales du monde.

Apple prépare un correctif de micrologiciel qui refusera au moins de charger les ROM en option lors des mises à jour du micrologiciel, mais il laisse ouvert un autre exploit de sécurité détecté pour la première fois en 2012. Le calendrier d’un correctif complet est inconnu.

Maintenant lis: Wirelurker : une nouvelle génération de logiciels malveillants iOS et OSX qui a infecté des milliers de personnes

Bouton retour en haut de la page