Apple werkt aan een patch voor Thunderstrike
Aangezien de patch voor Thunderstrike al gevonden werd in de betaversies, kunnen we ervan uitgaan dat het probleem met de volgende update van OS X opgelost zal worden.
De Thunderstrike-kwetsbaarheid werd ontdekt door Tramell Hudson, nadat z’n werkgever hem vroeg om de rootkits van Macs te bestuderen om ervoor te zorgen dat de firmware van z’n eigen bedrijf bestand zou zijn tegen eventuele problemen.
[related_article id=”158256″]
Hudson merkte daarbij dat hij de Boot ROM kon aanpassen als hij z’n MacBook open vees en toegang had tot de desbetreffende chip; daarna verfijnde hij de techniek, zodat z’n test-aanval ook kon worden uitgevoerd via een gemodificeerde Ethernet Thunderbolt-adapter van Apple zelf die in de Thunderbolt-poort van de laptop geplugd werd.
De Thunderbolt-poort, zo bleek, vormde een achterpoortje dat de onderzoeker toeliet om code te laten uitvoeren terwijl het systeem nog aan het booten was. Malware die op deze manier werd geïnstalleerd bleek bovendien extreem moeilijk te ontdekken én te verwijderen te zijn.
De aanval kan evenwel niet op afstand worden uitgevoerd; de aanvaller moet effectief toegang hebben tot de Thunderbolt-poort op de Mac die hij wil besmetten. Aangezien de malware echter kan worden ingeplant in adapters en andere Thunderbolt-randapparatuur, kan dat proces eenvoudigweg inhouden een aantal besmette toestelletjes te verspreiden.
Verschillende bronnen melden nu dat een oplossing voor dit probleem nu opduikt in de beta voor OS X 10.10.2: daarmee wordt vermeden dat een besmette adapter de Boot ROM kan wijzigen of downgraden om hem in de toekomst kwetsbaar te maken.
OS X-gebruikers zullen binnenkort de afgewerkte versie van de update kunnen installeren. Deze update zal ook fixes bevatten voor drie andere kwetsbaarheden die ontdekt werden door Googles Project Zero-programma.