Dựa trên lỗ hổng bảo mật được công bố từ 2 năm trước, nhà nghiên cứu bảo mật Trammell Hudson đã tìm ra cuộc tấn công mang tên Thunderstrike có mã độc được cài đặt trong bộ nhớ khởi động (Boot ROM) của máy tính MacBook và được lưu trữ trong một con chíp trên bo mạch chủ.
Theo Trammell Hudson: “mã độc có thể sử dụng một ROM tùy chọn của Thunderbolt (Thunderbolt Option ROM) để bỏ qua việc kiểm tra chữ ký mật mã trong chương trình cập nhật EFI firmware của Apple. Điều này cho phép kẻ tấn công truy cập vật lý tới máy để viết mã giả cho SPI Flash ROM trên bo mạch chủ và tạo ra một loại mới của phần mềm khởi động độc hại (firmware bootkits) đối với các hệ thống MacBook”. Mã độc được cài đặt trong Boot ROM sẽ được kích hoạt trước khi hệ điều hành OS được nạp vào, nghĩa là nó có thể vá nhân hệ điều hành OS và điều khiển toàn bộ hệ thống. Điều này cũng có nghĩa là, dù cài đặt lại Mac OS X hay xóa cả ổ cứng thì cũng không thể xóa bỏ được Bootkit vì mã độc không lưu giữ trong đó.
Bootkit có thể thay thế khóa mật mã của Apple được lưu trữ trong ROM bằng một mã do kẻ tấn công tạo ra để ngăn chặn bất kỳ cập nhật firmware (firmware updates) hợp pháp nào từ Apple. Firmware updates được giả thiết là phải được xác thực, nhưng lỗ hổng được kẻ tấn công khai thác cho phép bỏ qua cơ chế xác thực này.
Trammell Hudson cho biết: “Thêm vào đó, ROM tùy chọn (Option ROM) của các thiết bị Thunderbolt khác có thể được viết từ một mã chạy trong lúc bắt đầu khởi động và Bootkit có thể tự sao lưu chính nó vào các thiết bị Thunderbolt mới. Các thiết bị này vẫn hoạt động và chúng có thể cho phép Bootkit vụng trộm này lây lan xuyên qua vòng ngoài lỗ trống bảo mật thông qua các thiết bị Thunderbolt được chia sẻ”.
Các nhà nghiên cứu bảo mật cũng đã đưa ra những phương pháp để vô hiệu hóa Secure Boot - dùng cơ chế bảo mật của UEFI (Unified Extensible Firmware Interface) thay thế cho BIOS trong máy tính hiện đại.
(Theo computerword)