Thunderstrike 2, la seguridad de Apple también en evidencia

En estos momentos está teniendo lugar la conferencia internacional de seguridad informática más grande del mundo: la BlackHat security conference 2015 en las Vegas, pero muchos de los participantes adelantan sus hallazgos para conseguir atraer más audiencia a sus conferencias.

Hace unos días veíamos como la empresa Zimperium anticipaba el mayor bug descubierto hasta la fecha en Android: el StageFright Bug. Parece ser que las demás empresas no quieren quedarse sin audiencia en la BlackHat y, desde Estados Unidos, LegbaCore y Two Sigma Investments nos comunican una vulnerabilidad importante en los MackBook de Apple, la catalogada como la plataforma más segura del mercado (al menos a nivel de usuario).

Xeno Kovah (dueño de LegbaCore) y Trammell Hudson (ingeniero de seguridad de Two Sigma Investments) han desarrollado Thunderstrike 2, un gusano informático que ha hecho que la seguridad de Apple también esté en evidencia.

¿Cómo funciona?

Thunderstrike 2 es un gusano que trabaja a nivel de firmware. El firmware es un nivel software que se sitúa por debajo del sistema operativo, muy cercano al hardware, y que suele estar escrito en chips independientes con memoria Flash o ROM.

Prácticamente todos los componentes electrónicos de hoy en día cuentan con un firmware para dirigir su funcionalidad. En concreto los ordenadores ejecutan su firmware – también conocido como BIOS, EFI o UEFI – nada más ser arrancados, justo antes de dar paso al sistema operativo.

Si un malware consiguiese infectar el firmware éste no sería detectado por ningún tipo de antivirus, ya que estos trabajan en niveles superiores. Además el malware podría bloquear las escrituras al firmware infectado obligando a reprogramarlo para poder librarse de el, cosa que en la mayoría de los casos requiere de equipo especial del que sólo disponen las empresas.

En este punto el firmware infectado podría infectar el firmware de todos los periféricos (memorias flash, discos duros e incluso adaptadores y cables) y éstos a su vez el de todos los equipos donde se conecten. Este tipo de ataques son utilizados por agencias de inteligencia como la NSA debido a su alto nivel de eficacia.

El objetivo de Thunderstrike 2 es justamente lo que comentamos. El gusano consigue infectar el equipo desde un simple correo electrónico o el acceso a páginas infectadas, aunque Apple ha reaccionado rápidamente y parece ser que en las próximas actualizaciones repara parcialmente el bug que permitía dicho acceso. Sin embargo el contagio mediante otro firmware infectado es muy difícil de solucionar, así que veremos cómo evoluciona el asunto.

En este vídeo podemos ver una Preview del ataque en funcionamiento:

¿Por qué es tan ‘fácil’ acceder al equipo?

Este fallo en realidad ya se descubrió en los sistemas Windows el año pasado, afectando aproximadamente al 80% de los equipos en los que se probó (incluyendo fabricantes como Dell, Lenovo, Samsung y HP). Los investigadores observaron que 5 de las 6 vulnerabilidades que afectaban a Windows a nivel de firmware también funcionaban en Mac.

Esto es debido a que muy pocos fabricantes incluyen métodos de encriptación o verificación de autenticidad a nivel de firmware, lo que los hace sumamente vulnerables a modificaciones. Además todos los fabricantes siguen referencias muy similares a la hora de implementar el firmware, por lo que si se encontrara un bug probablemente afectaría a todos los firmwares similares.

Como hasta ahora los ataques a este nivel no eran demasiado numerosos los fabricantes siguen desarrollando firmwares poco seguros que dan pie a ser infectados: la gran mayoría permite la actualización del mismo sin siquiera verificar si la fuente es oficial.

Conclusión

La inminente inauguración del BlackHat security congress 2015 nos ha traido en los últimos días importantes brechas de seguridad en todas las plataformas. Si bien esto ocurre a menudo, las vulnerabilidades que ven la luz este año son especialmente graves debido su potencial.

Thunderstrike 2 compromete la seguridad de una de las plataformas que más alardea de la ella. Probablemente se tarde muy poco en reparar el bug que permite la reescritura del firmware desde un simple correo o enlace, pero la infección por contagio no es tan fácil de solucionar.

Muchos podéis pensar que esto no va con vosotros ya que sois muy cautelosos a la hora de utilizar periféricos, pero ¿y si compramos de eBay un adaptador de pantalla o de Ethernet infectados? o peor aún, ¿y si se consiguiera infectar un fábrica de periféricos?

Esperemos que todo ésto se quede en especulaciones y pronto veamos cómo se corrigen todos estos bugs. ¿Qué opináis?