Ноутбуки MacBook подвержены заражению исключительно устойчивыми буткитами, которые проникают в систему через устройства, подключенные по интерфейсу Thunderbolt. Относительно новый тип атаки, получившей название Thunderstrike, будет подробно обсуждаться 29 декабря 2014 года в 18:30 на хакерской конференции Chaos Communication Congress в Гамбурге. Это тема лекции «Буткиты EFI для Apple MacBook», которую подготовил хакер Трэммелл Хадсон (Trammell Hudson).
Хадсон объясняет в своём блоге, что буткит устанавливается с помощью модификации Thunderbolt Option ROM и обхода проверки криптографической подписи в расширяемом интерфейсе прошивки (EFI) во время процедуры обновления. Интерфейс EFI в современных компьютерах пришёл на смену старому BIOS.
Уязвимость в Thunderbolt Option ROM известна уже два с половиной года (её можно устранить, заменив всего несколько байт в прошивке). Теперь готов инструмент, эксплуатирующий баг, присутствующий в миллионах устройств.
Такой буткит способен пережить переустановку OS X и замену жёсткого диска. Он успешно противостоит попыткам удаления со стороны программного обеспечения и способен распространяться от ноутбука к ноутбуку, заражая Thunderbolt-устройства, которые подключаются к инфицированному компьютеру.
Трэммелл Хадсон говорит, что во время загрузки ROM не осуществляется никаких криптографических проверок. Таким образом, после успешной перепрошивки материнской платы буткит полностью контролирует компьютер сразу после его включения, и зловред нельзя удалить стандартными средствами. Он может использовать SMM, виртуализацию и другие техники для уклонения от попыток обнаружения.
Разработанный концептуальный буткит также заменяет RSA-ключ от Apple в ROM, чтобы предотвратить будущие попытки обновления прошивки посторонними.
