В конце прошлого года хакер Трэммелл Хадсон (Trammell Hudson) рассказал о новом типе атаки на компьютеры «макинтош»: буткит EFI устанавливается с помощью периферийного устройства по интерфейсу Thunderbolt. Не успела Apple выпустить патч в OS X 10.10.2, как автор показал более продвинутую версию зловреда, которую можно передавать по e-mail или через веб-сайт. Она заражает Mac, потом записывается на устройство по Thunderbolt — и распространяется дальше.

Новая атака получила название Thunderstrike 2. В отличие от прошлой версии, она не требует физического доступа к компьютеру. Она может осуществляться в удаленном режиме. Что еще более ценно, затем инфекция распространяется автоматически на все устройства, к которым подключается зараженное устройство с Option ROM.

После заражения баг в оригинальной прошивке исправляется зловредом, так что прошивку невозможно перезаписать тем же методом.

Аналогичные уязвимости существуют в прошивках EFI на компьютерах Dell, HP, Lenovo, Samsung и др. В компьютерах Apple известно пять уязвимостей в EFI, из них Apple закрыла одну, частично закрыла еще одну и пока не смогла исправить три оставшиеся.

Машины под OS X в последнее время сильно страдают и от другой атаки, которая активно эксплуатируется злоумышленниками. Это 0day-уязвимость с удаленным редактированием файла sudoers и повышением привилегий, после чего на «мак» незаметно устанавливается и запускается любая программа, не спрашивая пароль пользователя.

DYLD_PRINT_TO_FILE-exploit



3 комментария

  1. Qwitti

    05.08.2015 at 03:26

    Ппц, как люди такой код пишут? Объясните нубу =)

    • Int

      05.08.2015 at 16:11

      Пишем сайт уже чуть ли не год. До нас его писали две команды, не оставив ни одного комментария. Сроки так поджимают, что иногда проще понадеяться, что какая-нибудь функция getMainPageNews() не используется нигде, кроме как для получения новостей на главной странице, чем искать, где бы её кто ещё мог использовать. Иногда не прокатывает. Да и вообще, сроки очень поджимают.

Оставить мнение