来週ドイツで開催される Chaos Communication Congress で、研究者は、悪意のある攻撃者が特別に作成された Thunderbolt デバイスを使用して、ブートキット (削除のほぼすべての試みに耐えることができる) を EFI ブート ROM に挿入する方法を実証する予定です。 Thunderbolt ポートを備えたすべての Mac。
攻撃、によって発見されました研究者の Trammell Hudson は、2012 年に初めて公開されたもののまだパッチされていない Thunderbolt オプション ROM の長年の欠陥を利用しました。ハドソンは、ブート ROM にカスタム コードを書き込むことに加えて、接続されている Thunderbolt デバイスにブートキット自体を複製して、エアギャップのあるネットワークにも拡散できるようにする方法も示します。
コードはロジック ボード上の別の ROM に存在するため、OS X を再インストールしたり、ハード ドライブを交換したりしても、このような攻撃を軽減することはできません。ハドソン氏はプレゼンテーションの要約の中で、Apple 独自の暗号キーを新しいものに置き換えることで、正規のファームウェアのアップデートが受け入れられなくなる可能性があるとも述べています。
同氏は、「起動時にファームウェアの有効性を確認するハードウェアやソフトウェアの暗号化チェックは行われないため、悪意のあるコードがROMに書き込まれると、最初の命令からシステムを制御することになる」と述べている。 「SMM やその他の技術を使用して、検出の試みから身を隠す可能性があります。」
このような低レベルの脆弱性は、検出が難しく、重大な損害を与える可能性があるため、特に厄介です。以前の EFI ハッキングのデモンストレーションでは、たとえば Apple の FileVault などのフルディスク暗号化システムをブートキットでバイパスできる方法が示されました。
ハドソンの攻撃には物理的なアクセスが必要ですが、他の Thunderbolt デバイスを介して拡散する能力があるため、非常に危険です。ユーザーは、ディスプレイ アダプターなどの小型の共有デバイスを、あまり考えずにコンピューターに接続する傾向があります。
ハドソン氏は現地時間12月29日午後6時30分からドイツのハンブルクでステージに上がり、研究結果を発表する予定だ。
Isamu 
Isamu 
Isamu