В конце прошлого года хакер Трэммелл Хадсон (Trammell Hudson) рассказал о новом типе атаки на компьютеры «макинтош»: буткит EFI устанавливается с помощью периферийного устройства по интерфейсу Thunderbolt. Не успела Apple выпустить патч в OS X 10.10.2, как автор показал более продвинутую версию зловреда, которую можно передавать по e-mail или через веб-сайт. Она заражает Mac, потом записывается на устройство по Thunderbolt — и распространяется дальше.
Новая атака получила название Thunderstrike 2. В отличие от прошлой версии, она не требует физического доступа к компьютеру. Она может осуществляться в удаленном режиме. Что еще более ценно, затем инфекция распространяется автоматически на все устройства, к которым подключается зараженное устройство с Option ROM.
После заражения баг в оригинальной прошивке исправляется зловредом, так что прошивку невозможно перезаписать тем же методом.
Аналогичные уязвимости существуют в прошивках EFI на компьютерах Dell, HP, Lenovo, Samsung и др. В компьютерах Apple известно пять уязвимостей в EFI, из них Apple закрыла одну, частично закрыла еще одну и пока не смогла исправить три оставшиеся.
Машины под OS X в последнее время сильно страдают и от другой атаки, которая активно эксплуатируется злоумышленниками. Это 0day-уязвимость с удаленным редактированием файла sudoers и повышением привилегий, после чего на «мак» незаметно устанавливается и запускается любая программа, не спрашивая пароль пользователя.
