Atak na MacBooka z użyciem... adaptera Thunderbolt-Ethernet
Podczas konferencji Black Hat w Las Vegas specjalista do spraw bezpieczeństwa komputerów z Australii, Loukas K. (Snare) z australijskiej firmy Assurance zaprezentował (PDF) ciekawy atak na MacBooka Air, bazujący na starym Evil Maid Attack. Przygotowany przez Snare'a bootkit jest w stanie wstrzyknąć się do EFI (Extensible Firmware Interface) komputera na przykład z wprowadzonego niedawno na rynek przejściówki z portu Thunderbolt na gigabitowy Ethernet (RJ-45) firmy Apple.
Samo wstrzyknięcie rootkita do EFI nie jest nową ideą. Jednak Snare nie tylko zaprezentował ten typ ataku na żywo po raz pierwszy, ale również znalazł nową metodę — wykorzystał superszybkie złącze Intela. Oczywiście jego rootkit można załadować również z karty rozszerzeń PCI, ale przejęcie kontroli nad komputerem z użyciem przejściówki wygląda o wiele ciekawiej. W końcu mało kto spodziewa się rootkitów „na kablu” ;).
Snare'owi udało się spreparować sterownik, który jest ładowany przy uruchomieniu komputera, i umieścić go we wbudowanej pamięci adaptera Apple'a. Raz załadowany sterownik może wstrzyknąć złośliwy kod do EFI i w ten sposób ingerować w proces uruchamiania komputera oraz powiadomić autora o zakończeniu działania. Rootkit może wykonywać różne operacje przed uruchomieniem systemu, w tym obejść szyfrowanie FileVault i na przykład zmienić coś w jądrze lub przechwytywać hasła z użyciem logowania wciśniętych klawiszy.
Atak Australijczyka teoretycznie można przeprowadzić również na maszyny z BIOS-em. Jednak w przeciwieństwie do opierających się na podobnych zasadach ataków kierowanych na BIOS, może on być z niewielkimi modyfikacjami wykorzystany na bardzo szerokiej gamie urządzeń i konfiguracji sprzętowych. To po części cena, jaką płacimy za umożliwienie deweloperom łatwego pisanie modułowego kodu z wykorzystaniem EFI Developement Kit i ujednolicenie standardów, na których bazuje EFI.