Специалисты по компьютерной безопасности из исследовательской фирмы LegbaCore и фонда Two Sigma Investments (TSI) доказали возможность заражать как обычные ПК, так и компьютеры Apple при помощи вируса, передающегося через простые Ethernet-переходники без подключения к интернету, пишет TJ.
Специалисты LegbaCore и TSI занялись изучением прошивок еще в 2014 году и выяснили, что обнаруженные ими уязвимости коснулись 80% исследуемых устройств Dell, Lenovo, Samsung и HP. Впоследствии эксперты обнаружили, что пять из шести найденных ими уязвимостей проявляются и на компьютерах Mac от Apple, которые считаются более безопасными, чем обычные ПК.
Атака под названием Thunderstrike 2, описанная исследователями, начинается с заражения компьютера при помощи вредоносного кода, отправленного в виде фишингового сообщения через электронную почту. После этого вирус заражает все периферийные устройства с Option ROM, включая сетевые адаптеры. Если зараженный адаптер будет подключен к другому компьютеру, то при загрузке системы вирус продолжит распространяться через новые периферийные устройства.
Простые Ethernet-адаптеры сравнительно популярны среди владельцев компьютеров Macbook Air, у которых отсутствует собственный порт Ethernet и расширение функциональности происходит через один из двух доступных USB-портов. Стоит отметить, что уязвимыми к подобной атаке являются также внешние SSD или RAID-контроллеры.
"Люди не знают, что эти маленькие дешевые устройства на самом деле могут заражать их прошивку. Можно заразить таким червем весь мир, начав распространять его очень медленно и неприметно. Если люди не будут знать, что атаки можно проводить на таком уровне, значит, они не будут готовы к защите и однажды такая атака полностью разрушит их систему", - заявил владелец LegbaCore под ником Kovah.
Исследователи отмечают, что единственным способом избавления от вируса является перепрошивка устройства, поскольку обычные антивирусы или даже переустановка системы его не удалят. Эта особенность делает уязвимость привлекательной для хакеров, поскольку обычные пользователи не могут узнать о проблемах с прошивкой, а производители прошивок обычно не шифруют их содержимое, что упрощает задачу по внесению изменений.
Специалисты LegbaCore и TSI разработали метод атаки самостоятельно, однако заявили, что такие уязвимости могут стать началом массового распространения вируса, например, если хакеры начнут продавать зараженные адаптеры на eBay.
Эксперты уже уведомили Apple об уязвимостях, но компания полностью исправила только одну из них и еще одну исправила частично. Три остальные так и не были устранены.
Представители LegbaCore и TSI планируют более подробно рассказать о своих достижениях в ходе конференции Black Hat, которая пройдет в Лас-Вегасе 6 августа.
Напомним, что это не первый случай, когда специалисты указывают на уязвимость прошивки обычного периферийного устройства. Так, год назад специалисты немецкой компании SR Labs Карстен Нол и Якоб Лелл сообщили, что им удалось модифицировать обычную прошивку USB, внедрив в нее вредоносный код.