Thunderstrike 2, rootkit indistruttibile per Mac

Due ricercatori di sicurezza hanno sviluppato il rootkit Thunderstrike 2 che sfrutta tre vulnerabilità presenti nel firmware dei Mac.
Due ricercatori di sicurezza hanno sviluppato il rootkit Thunderstrike 2 che sfrutta tre vulnerabilità presenti nel firmware dei Mac.
Luca Colantuoni
Pubblicato il 4 ago 2015

Gli utenti Apple credono di usare un sistema operativo più sicuro di Windows. Due ricercatori hanno però scoperto che OS X è altrettanto vulnerabile, nonostante sia meno diffuso del software Microsoft. Xeno Kovah e Trammell Hudson hanno sviluppato un rootkit che può essere installato da remoto nel firmware e infettare tutti i Mac con porta Thunderbolt. Questo tipo di malware non può essere individuato e rimosso dai tradizionali antivirus.

I ricercatori hanno scoperto sei vulnerabilità nei BIOS dei PC di Dell, Lenovo, HP e Samsung. Dato che i produttori tendono ad usare lo stesso codice per tutti i dispositivi, cinque delle sei vulnerabilità sono presenti anche nel firmware EFI dei Mac. Kovah e Hudson hanno sfruttato tre dei cinque bug (gli altri due sono stati corretti da Apple) per sviluppare il rootkit Thunderstrike 2 che può essere distribuito mediante email di phishing o sito infetto. Il malware verifica la presenza di periferiche collegate alla porta Thunderbolt e, se la ricerca è positiva, infetta la Option ROM del dispositivo.

In questo modo è possibile compromettere qualsiasi Mac, in quanto il rootkit viene caricato dalla Option ROM nel firmware EFI che viene eseguito al boot del computer. Se, ad esempio, l’utente collega un adattatore Thunderbolt-Ethernet, il malware viene copiato dal firmware EFI alla Option ROM, passando quindi da un Mac all’altro, anche se non viene connesso ad Internet. I ricercatori rilasceranno un tool che permetterà solo di verificare l’integrità della Option ROM, non il firmware EFI del Mac.

Dato che nessun antivirus effettua la scansione del firmware, il rootkit non può essere rilevato. L’unico modo per eliminarlo è il re-flash del chip che contiene il firmware, un’operazione non alla portata di tutti. Per evitare la modifica del codice, i produttori hardware dovrebbero usare la crittografia e implementare funzionalità di autenticazione per verificare le firme digitali. Come ulteriore contromisura potrebbero consentire agli utenti di leggere il firmware per confrontare il checksum con quello originale.

Ti consigliamo anche

iPhone 14 a SOLI 599€: prezzo imbattibile con questo codice segreto
Apple

iPhone 14 a SOLI 599€: prezzo imbattibile con questo codice segreto
4 AirTag al prezzo di uno: errore di prezzo o promo INCREDIBILE?
Apple

4 AirTag al prezzo di uno: errore di prezzo o promo INCREDIBILE?
Sconto FOLLE per l'ultimo iMac: oggi costa 330€ IN MENO (-20%)
Apple

Sconto FOLLE per l'ultimo iMac: oggi costa 330€ IN MENO (-20%)
FUORI TUTTO APPLE: fino a 330€ di sconto su Amazon
Apple

FUORI TUTTO APPLE: fino a 330€ di sconto su Amazon
Link copiato negli appunti