Sicurezza

Thunderstrike 2: il firmware dei Mac è vulnerabile, formattare è inutile

"Thunderstrike 2: Sith Strike" potrebbe sembrare il titolo di uno spin-off di Start Wars, ma in realtà si tratta di qualcosa di nefasto per i possessori di computer Apple. Dietro a questo titolo infatti si cela una sessione del Black Hat USA in cui, tra pochi giorni, dei ricercatori spiegheranno come sono riusciti a infettare i sistemi della Mela con un malware che sopravvive anche alla formattazione e reinstallazione di OS X, oltre che all'uso degli antivirus.

Thunderstrike 2, questo il nome dato all'attacco dai ricercatori Corey Kallenberg, Xeno Kovah e Trammell Hudson, può essere iniettato da remoto (non è richiesta la presenza fisica davanti al computer) e sfrutta falle comuni nel firmware di PC e Mac.

thunderstrike 2

"Apple ha sistematicamente dichiarato che non erano vulnerabili agli attacchi ai firmware dei PC. Questa sessione fornirà la prova decisiva che i Mac sono in realtà vulnerabili a molti degli attacchi al firmware che colpiscono anche i PC".

Secondo Xeno Kovah quasi tutti gli attacchi al firmware dei PC sono applicabili anche ai computer di Apple. I ricercatori hanno riscontrato che di sei vulnerabilità presenti nei firmware per PC, cinque erano efficaci anche su Mac. Il firmware (extensible firmware interface, EFI) si avvia all'accensione del computer, dopodiché viene caricato il sistema operativo. Per questo motivo formattare non ha effetto sul malware, che fisicamente non si trova nell'hard disk o l'SSD.

Apple MacBook 12 Apple MacBook 12"

A un malintenzionato potrebbero servire pochi secondi per infettare da remoto il sistema tramite email di phishing o siti malevoli. Il malware potrebbe diffondersi automaticamente da Mac a Mac senza bisogno che questi siano in rete. Thunderstrike 2 è stato progettato anche per diffondersi infettando le cosiddette "Option ROM" di periferiche collegabili.

Il malware è in grado di cercare periferiche collegate al computer che contengono l'Option ROM, ad esempio un adattatore Thunderbolt Ethernet di Apple, per infettarne il firmware. In questo modo l'adattatore diventa un veicolo d'attacco, usato per diffondere il malware su altri Mac a cui viene collegato.

Secondo i ricercatori un modo per diffondere il malware sarebbe quello di vendere adattatori Ethernet infetti tramite eBay o infettarli direttamente in fabbrica. "L'attacco è davvero difficile da rilevare, è molto complicato disfarsene ed è davvero difficile proteggersi da qualcosa che lavora all'interno del firmware", ha affermato Kovah.

Effettuare il flash del chip che contiene il firmware, cancellando i dati al suo interno per poi riscriverli, appare l'unico modo rapido per sbarazzarsi di Thunderstrike 2. Quello più laborioso richiede ai produttori di PC di ripensare il funzionamento dei firmware e come è possibile mantenerli costantemente aggiornati da eventuali vulnerabilità.

Dopo aver discusso pubblicamente l'attacco i ricercatori distribuiranno alcuni strumenti che consentiranno agli utenti di controllare la Option ROM nei loro dispositivi. Questi strumenti, tuttavia, non saranno in grado di controllare il firmware dei Mac né tantomeno cancellare il malware. Thunderstrike 2 non sarà diffuso, ma nulla impedisce ad altri di mettere a punto qualcosa di simile o magari persino peggiore.