As últimas semanas não têm sido fáceis para o sistema operativo de desktop da Apple. Depois de surgir uma falha de segurança no NTP que usam no seu sistema e de se ter provado que com um simples dispositivo USB se pode alterar a máquina, surge agora mais um problema com grande gravidade e que afecta a EFI dos Mac.
Foi apenas mostrado como prova de conceito, mas o Thunderstrike consegue afectar a EFI dos Mac, e através de um simples dispositivo Thunderbolt
A prova de conceito do Thunderstrike foi apresentada no Chaos Communications Congress, e o seu criador, Trammell Hudson, revelou que com um simples dispositivo Thunderbolt alterado é possível modificar a EFI do Mac e colocar nela código malicioso.
Este problema é tanto maior pois o Thunderstrike altera de forma quase definitiva a EFI e impede que a mesma seja alterada posteriormente, impedindo assim actualizações que possam corrigir este problema ou até eliminá-lo dos sistemas.
Ao ser colocado na ROM dos Mac o Thunderstrike, e modificando-a para que não possa ser mais alterada, fica assim imune a qualquer tentativa de recuperação, mesmo que a mesma envolva a reinstalação do sistema operativo ou até à troca do disco na máquina.
Mas o Thunderstrike tem ainda a capacidade de infectar outros dispositivos Thunderbolt, bastando para isso que estes se liguem à máquina infectada. Depois desta transmissão o processo de disseminação deste rootkit é simples e bastante rápido.
Para já o Thunderstrike existe apenas como prova de conceito e não se conhecem utilizações do mesmo em ambientes reais e que tentem explorar esta vulnerabilidade.
Uma descrição com maior detalhe e com todos os pormenores pode ser encontrada no site do seu autor. Nesse post Trammell Hudson resume de forma bem explicita a falha em si e a forma como pode ser explorada, não apenas para infectar directamente a EFI mas também para se propagar através a escrita na ROM dos dispositivos Thunderbolt.
Também a apresentação de Trammell Hudson no Chaos Communications Congress pode ser vista abaixo e nesse vídeo é explicado ainda com maior detalhe esta vulnerabilidade e de que forma se consegue blindar e até propagar a outros dispositivos Thunderbolt.
Segundo Trammell Hudson a Apple está já alertada para este problema e deve dentro de dias libertar uma actualização que resolva parcialmente o problema.
A solução deverá tratar do problema da propagação via dispositivos Thunderbolt, mas não tratará do problema da escrita sem controlo na EFI.
Mesmo requerendo uma interacção física com os dispositivos que se pretendem infectar, numa primeira fase, o Thunderstrike é uma falha grave e que é difícil de controlar e até de reparar. A única solução em caso de contágio é através da reposição da EFI, processo que apenas a Apple pode fazer.