Havebin

Watch

セキュリティ研究者がPCの脆弱性を悪用し、初のファームウェアベースのMacワームを作成c

Havebin
qlamk
0 Comments
セキュリティ研究者がPCの脆弱性を悪用し、初のファームウェアベースのMacワームを作成c
セキュリティ研究者がPCの脆弱性を悪用し、初のファームウェアベースのMacワームを作成c

Apple は一般的に、Mac がウイルスフリーで安全であることを確実にするために多大な努力を払っているが、Xeno Kovah と Trammell Hudson という 2 人の研究者は、多くの PC ファームウェアの脆弱性が Mac にも影響を及ぼし、Apple のハードウェアが、OS X の再インストールやシステム ワイプを回避できるファームウェアへの攻撃に対して無防備になっていることを発見した。

実際、研究者らはさまざまなメーカーの PC でテストした 6 つの脆弱性のうち、1 つを除いてすべてが Mac にも影響を与えることを発見しました。

前述の通り、ファームウェアワームは、コンピュータが完全に消去され、オペレーティングシステムが完全に再インストールされた後でもシステム上に残存する可能性があります。これは、OS Xやソフトウェアレベルで攻撃するウイルスとは異なり、マシンのファームウェアに感染する悪意のあるソフトウェアは特定のハードウェアコンポーネントに付随しているためです。

コンピュータはハードウェアに何らかの指示を与えなければ動作しないため、オペレーティングシステムが動作していない状況では、ファームウェアが動作を指示します。これは、コンピュータがまだ完全に起動していないか、消去されていて動作させるソフトウェアがない状態であることを意味します。ファームウェアは決して消去されず、ハードドライブにも保存されません。そのため、オペレーティングシステムが動作していない場合でも、コンピュータは常に動作に関する指示を保持しています。

ファームウェアが更新された場合、既存のファームウェアはコンピュータに更新のインストールプロセスを案内する必要があります。つまり、感染したファームウェアは更新による損傷の修復を妨害する可能性があります。だからこそ、ファームウェア攻撃は非常に巧妙なのです。ファームウェア攻撃はコンピュータの最も重要な部分の一つに感染し、システムが問題を解決できないようにするのに十分な力を持っているのです。

こうしたタイプの攻撃は検出がほぼ不可能です。しかし、一度検出されてしまうと、影響を受けるファームウェアを完全に書き換えるか、新しいコンピューターを購入する以外に、駆除できる手段はほとんどありません。

ファームウェア攻撃は、多くのコンピューターメーカーが悪意のあるアップデートや変更を防ぐための安全対策をほとんど講じていないために起こり得るもので、多くのコンピューターが脆弱な状態にあります。Wiredによると Appleは研究グループが発見した少なくとも1種類の攻撃を防ぐための保護対策を講じることができたにもかかわらず、それを行わなかったようです。

Mac が感染すると、接続された周辺機器を通じて悪意のあるファームウェアが他のマシンに拡散し、他のコンピューターから完全に切断されているシステムにまで拡散する可能性があります。

攻撃者はまず、フィッシングメールや悪意のあるウェブサイトを介して攻撃コードを配信し、MacBookのブートフラッシュファームウェアをリモートから侵害します。このマルウェアは、Apple Thunderbolt Ethernetアダプタなど、オプションROMを搭載したコンピュータに接続された周辺機器を監視し、それらのファームウェアに感染させます。その後、ワームはアダプタが接続された他のコンピュータにも拡散します。

このワームに感染したデバイスが挿入された状態で別のマシンを起動すると、マシンのファームウェアは感染したデバイスからオプションROMを読み込み、ワームはマシンのブートフラッシュファームウェアに悪意のあるコードを書き込むプロセスを開始します。その後、オプションROMを搭載した新しいデバイスがコンピュータに接続されると、ワームはそのデバイスにも自身を書き込み、拡散に利用します。

マシンをランダムに感染させる方法の 1 つは、感染したイーサネット アダプターを eBay で販売するか、工場で感染させることです。

感染拡大に利用できる外部デバイスは、イーサネットアダプターだけではありません。コヴァ氏は、多くのSSDやストレージデバイスには、マルウェアをあるマシンから別のマシンに転送できるハードウェアが搭載されていると指摘しました。

これらの攻撃が発見されAppleに開示されて以来、研究チームによると、1つは修正され、もう1つは部分的に解決されたとのことですが、残念ながら残りの3つは現在のMacファームウェアに依然として存在しています。これらの未解決の脆弱性により、研究者たちは昨年末に発見されたThunderstrikeの脆弱性の新たなバージョンを作成することができました。

脆弱性の詳細は、今週後半に開催されるBlack Hatカンファレンスで議論される予定です。チームは、接続された周辺機器の感染状況を確認できるツールをその場でリリースする予定だとしていますが、残念ながら技術的な制限により、マシン自体に問題がないか確認することはできません。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like