СОЗДАН ПЕРВЫЙ ЧЕРВЬ, МЕНЯЮЩИЙ ПРОШИВКУ «МАКОВ»

https://xakep.ru/wp-content/uploads/2015/08/Clipboard01-1000x568.jpg
В конце прошлого года хакер Трэммелл Хадсон (Trammell Hudson) рассказал о новом типе атаки на компьютеры «макинтош»: буткит EFI устанавливается с помощью периферийного устройства по интерфейсу Thunderbolt. Не успела Apple выпустить патч в OS X 10.10.2, как автор показал более продвинутую версию зловреда, которую можно передавать по e-mail или через веб-сайт. Она заражает Mac, потом записывается на устройство по Thunderbolt — и распространяется дальше.

Новая атака получила название Thunderstrike 2. В отличие от прошлой версии, она не требует физического доступа к компьютеру. Она может осуществляться в удаленном режиме. Что еще более ценно, затем инфекция распространяется автоматически на все устройства, к которым подключается зараженное устройство с Option ROM.

После заражения баг в оригинальной прошивке исправляется зловредом, так что прошивку невозможно перезаписать тем же методом.

https://youtu.be/Jsdqom01XzY

Аналогичные уязвимости существуют в прошивках EFI на компьютерах Dell, HP, Lenovo, Samsung и др. В компьютерах Apple известно пять уязвимостей в EFI, из них Apple закрыла одну, частично закрыла еще одну и пока не смогла исправить три оставшиеся.

Машины под OS X в последнее время сильно страдают и от другой атаки, которая активно эксплуатируется злоумышленниками. Это 0day-уязвимость с удаленным редактированием файла sudoers и повышением привилегий, после чего на «мак» незаметно устанавливается и запускается любая программа, не спрашивая пароль пользователя.

https://xakep.ru/wp-content/uploads/2015/08/DYLD_PRINT_TO_FILE-exploit.png