Thunderstrike 2 – Worm Firmware lây nhiễm qua cổng sạc máy tính Mac

Nếu bạn nghĩ rằng máy tính Mac bảo mật hơn Windows thì bạn nên suy nghĩ lại. Các nhà nghiên cứu bảo mật vừa mới phát triển ra một loại sâu máy tính có thể tự động lây lan giữa các MacBook thông qua cổng sạc ThunderBolt.

Không giống như Thunderstrike 1 cần can thiệp vật lý vào thiết bị để tấn công, Thunderstrike 2 có thể được phát tán từ xa thông qua email lừa đảo, các trang độc hại và các thiết bị ngoại vi như USB… Sau khi được tải về máy tính, Thunderstrike 2 lây nhiễm vào bộ sạc Thunderbolt sử dụng Option Rom. Bộ sạc này sẽ là nguồn lây nhiễm tự động tiếp theoneeus được cắm vào máy tính khác.

Thunderstrike 2 được phát triển bởi hai nhà nghiên cứu  Trammell Hudson và Xeno Kovah. Bạn có thể xem bản chứng minh PoC trong video dưới đây:

Không phát hiện được Thunderstrike 2. Do sâu này nằm trên firmware, người dùng cũng như các phần mềm diệt virus hiện tại không thể tiếp cận được nó. Điều duy nhất bạn có thể làm để loại bỏ là flash lại con chip chứa firmware của máy. Được biết lỗ hổng firmware phát triển Thunderstrike 2 khá phổ biến trên hầu hết EFI firmware. Có tổng cộng 6 lỗ hổng ảnh hưởng đến các hãng lớn như  Dell, HP, Lenovo, Samsung … 5 lỗ hổng ảnh hưởng đến Mac firmware

Các nhà nghiên cứu dự định sẽ trình bày phát hiện của mình trong hội nghị bảo mật Black Hat và Def Con tại Las Vegas tuần này.

THN