Thunderstrike tillater enhver med litt teknisk kunnskap til å installere permanent, ondsinnet malware på Mac’en. Dette er verdens første verktøykasse for å snike seg inn bakveien til OS X (iallall som vi kjenner til)
Å sikre Mac’en mot usynlig malware burde vært gjort mer vanskelig enn hva det er nå, takket være et nytt toolkit som gir angripere muligheten for i hemmelighet å bytte ut firmware på de fleste maskinene som er bygd etter 2011 – selv om angriperne har minimalt med teknisk kunnskap.
Så fort start-programmet er installert – det vil si den malwaren som byttes ut med den originale programvaren som normalt brukes for å starte Mac’en – kan det ondsinnede programmet nå kontrollere hele systemet. Dette gjør at malwaren kan komme seg rundt og forbi alle de originale passordene som brukerne har anvendt for å sikre programvare, dekryptere drivere og forhåndsinnstille bakdører i operativsystemet før det begynner å kjøre.
Fordi malwaren er uavhengig av operativsystemet og harddriven, vil den overleve både reformatering og reinstallasjon av OS. Ettersom den også bytter ut den digitale signaturen som Apple benytter for å sikre at bare autorisert programvare blir kjørt på en Mac, er det få måter det er mulig å desinfisere infiserte startsystemer. Det er første gang dette skjer med en OS X plattform. Og de er heller ikke lette å oppdage i og med at det ikke finnes kjente tilfeller fra tidligere.
Malwaren har fått oppnavnet ”Thunderstrike”, fordi den spres gjennom modifiserte og ondsinnede periferiske enheter som koples opp mot Mac’ens Thunderbolt grensesnitt. Når en ekstern enhet blir koplet sammen med Mac’en i det den starter opp, injiserer Thunderstrike det som er kjent som en Option ROM i EFI-grensesnittet (Extensible Firmware Interface), programvaren som er ansvarlig for å starte opp Mac’ens management modus av systemet, og som tillater andre underordnede funksjoner før OS blir ladet. Option ROM erstatter RSA-enkrypteringsnøkkelen som Mac’en bruker for å forsikre seg om at bare autorisert programvare blir installert. Når dette er gjort, kan Thunderbolt-enheten installere malware som ikke er så lett hverken å oppdage eller fjerne fordi en ikke har tilgang til den nye nøkkelen.
Enter evil maid
Det er ikke mer som skal til enn kort fysisk tilgang til en maskin som utsettes for angrep, og denne forutsetningen er i mange tilfeller ikke så vanskelig å få til. Det kan være det som kalles ”Evil Maid” situasjoner – der en falsk hotellmedhjelper tukler med maskinen – eller en grensekontrollør som får tilgang til maskiner når noen krysser internasjonale grenser – ofte uten at maskinene er overvåket. Dokumentene som NSA-underleverandøren Edward Snowdon lekket, viste også hvordan agenter tar seg inn i hardware som blir sendt til organisasjoner for overvåking og som i hemmelighet blir installert som modifisert programvare før maskinene blir levert.
Alt en potensiell angriper trenger å gjøre for å gjennomføre et Thunderstrike-angrep, er å reboote en Mac med en Thunderbolt-enhet som på forhånd er i angrepsposisjon. Dersom Mac’en er slått på, men låst, trenger ikke angriperen å gjøre mer enn å presse power-knappen noen sekunder for å reboote maskinen. Ingen passord vil kunne stanse angrepet fordi Option ROM er ladet før noen av sikkerhetsforanstaltningene blir sjekket.
Thunderstrike gjorde sin debut i slutten av desember forrige år på Chaos Communication Congress. Svakheten ble oppdaget av Trammel Hudson, en ansatt ved et high-tech hedge fond i New York City, mens han forsøkte å sikre bedriftens MacBooks. Den selverklærte hobbyingeniøren var tidligere kjent for å ha utviklet Magic Lantern, et åpent programmeringsmiljø for Canon’s digitale speilreflekskameraer.
Thunderstrike bygger på et tilsvarende angrep tilbake til 2012 som ble demonstrert på en annen sikkerhetskonferanse. Dette angrepet retter seg mot og trenger forbi OS X FileVault-forsvaret og installerer et rootkit. På samme måte som med Thunderstrike anvendte det ondsinnede angrepet i 2012 seg av Thunderbolt-porter for å injisere malwaren i forbindelse med startprosessen. Det tidligere angrepet var imidlertid ikke i stand til å modifisere boot-ROM’en på samme måte. For å komme seg forbi denne hindringen skrev forskeren – som arbeider under hacker-kallenavnet ”Snaren” – et bootkit til systempartisjonen EFI.
Eureka
Ett gjennombrudd er Thunderstrike’s evne til å validisere volumer av ROM programvare. Hudson fant ut av dette etter å ha oppdaget en udokumentert CRC32 syklisk redundancy sjekkrutine som ble utført under den normale validiseringsprosessen. Ett sekunds gjennombrudd involverte også oppdagelsen av at Option ROMs blir ladet gjennom en omstartsprosess. Dette ga Hudson muligheten for å finne ut av hvordan han kunne bytte ut Apple’s eksisterende EFI-kode.
Thunderstrike var bare en av minst to EFI-baserte angrep som ble demonstrert under Chaos Communication Congress i desember. Et eget foredrag tok for seg Unified Extensible Firmware Interface, en lignende mekanisme som benyttes for å starte noen Windows og Linux maskiner. Én angripsmetode som Hudson viste til, som blir kalt Dark Jedi, og som han utdypet i foredraget, var at det muligvis kunne la seg gjennomføre gjennom fjernstyring. Da trengte ikke angriperen lenger fysisk tilgang til maskinen.
Hudson fortalte at Apple er inne i en prosess for delvis å kunne tette igjen svakhetene og sårbarheten som gjør Thunderstrike mulig. Løsningen innebærer blant annet at Option ROMs ikke lenger tillates å bli ladet opp i løpet av programvare-oppdateringer. Han mente at dette var et tiltak som effektivt kunne stanse et konseptangrep slik som det han hadde oppdaget. Oppgraderingen fra Apple’s side var allerede i gang på Mac Mini og iMac Retina 5 k, og at de har planer om å gjøre oppgraderingen bredere tilgjengelig i løpet av kort tid.
Hudson påpekte at det allikevel ikke er et fullstendig trygt sikkerhetstiltak. Under normal oppstartsprosess er Option ROMs fortsatt ladet, noe som gjør at den typen angrep som ”Snare” gjennomførte i 2012 fortsatt kan la seg gjennomføre. Eldre Mac’er er utsatt for mindre angrep gjennom å ”oppdatere” til versjoner med sårbar programvare.
Inntil det kommer en fullstendig sikkerhetsoppdatering fra Apple, er det ikke mange muligheter for å unngå eller forhåndssikre seg mot Thunderstrike-angrep. Å tette igjen portene er selvsagt en mulighet, men da er samtidig funksjonaliteten ødelagt. Ingen god løsning. Den andre muligheten er å ha maskinen under konstant overvåking, men det er heller ikke særlig praktisk. Om du legger maskinen i hotellsafen eller i forseglede oppbevaringsbokser, er det én måte å sikre seg på, men fortsatt er muligheten der for innbrudd og tyveri.