Thunderbolt : Thunderstrike 2 peut infecter les firmwares des Mac à distance

Thunderbolt : Thunderstrike 2 peut infecter les firmwares des Mac à distance

Il revient, et il n'est pas content

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

04/08/2015 6 minutes
20

Thunderbolt : Thunderstrike 2 peut infecter les firmwares des Mac à distance

En janvier dernier, deux chercheurs en sécurité montraient comment un périphérique Thunderbolt pouvait être utilisé sur Mac pour infecter ensuite les autres périphériques du même acabit. L'une des brèches a été depuis colmatée, mais l’exploitation, baptisée Thunderstrike, revient désormais dans une version 2 qui peut être déclenchée à distance.

Thunderstrike avait pour objectif de placer dans un périphérique Thunderbolt un bootkit qui pouvait ensuite infecter le Mac lors de la connexion. Le malware était en fait stocké dans l’Option ROM du périphérique (dans les grandes lignes, son firmware), qui peut être un accessoire aussi simple que l’adaptateur d’Apple Thunderbolt vers Ethernet Gigabit. Une fois connecté sur le Mac, le bootkit s’installait dans le firmware de la machine et devenait capable alors d’infecter tous les autres accessoires, à condition qu’ils disposent eux aussi d’une Option ROM.

La seule réelle barrière à l’exploitation de cette faille (qui a été en partie corrigée avec la mise à jour 10.10.2 pour Yosemite) est qu’il fallait un accès physique à la machine. Une fois qu’elle était infectée, elle pouvait se transformer en relais automatique pour le bootkit. Mais les chercheurs Xeno Kovah et Trammell Hudson ont travaillé sur une version 2 de l’exploit qui a désormais la capacité de pouvoir être déclenché à distance.

Thunderstrike revient et peut être déclenchée à distance

Le principe reste globalement le même, mais quand l’accès physique à la machine est impossible, les pirates ont la possibilité d’envoyer un email ou de préparer un site web malveillant pour exécuter du code, l’objectif étant bien sûr de provoquer l’infection initiale de l’accessoire Thunderbolt branché sur le Mac. Une fois cette étape passée, la machine peut redevenir le relais d’infection qu’elle aurait été avec un accès direct à la machine.

Pour Xeno Kovah, il est extrêmement difficile de combattre un tel problème : « Il est très difficile de détecter [cette attaque], très difficile de s’en débarrasser, très difficile de se protéger contre quelque chose qui fonctionne à l’intérieur d’un firmware. Pour la plupart des utilisateurs, c’est réellement le genre de situation où ne peut que jeter sa machine. La plupart des gens et des entreprises n’ont pas les ressources pour ouvrir physiquement leur machine et reprogrammer électriquement la puce ». Car là est bien le problème.

Une technique efficace et particulièrement discrète

Difficile en effet en déloger le bootkit transmis par l’Option ROM d’un périphérique Thunderbolt. D’une part, la grande majorité des produits de sécurité ne scannent pas ce type d’emplacement, se concentrant surtout sur les fichiers stockés dans le disque et sur la mémoire vive. Mais, d'autre part, même s’ils pouvaient détecter le malware, ce dernier ne pourrait pas pour autant être supprimé facilement car Thunderstrike referme derrière lui la porte qu’il a empruntée : il corrige la faille pour ne pas être dérangé ensuite.

Ce type de technique est selon les chercheurs assez proches des méthodes que l’on prête à la NSA : très efficaces une fois en place, particulièrement délicate à détecter, et encore davantage à supprimer, sans parler de la quasi-absence de traces sur la machine. On se rappelle également de la technique utilisée par Duqu 2.0 sur les machines du propre réseau de Kaspersky, et qui était si subtile et discrète que même l’éditeur a mis du temps à en comprendre le mécanisme.

C’est globalement le souci quand on parle d’infection des firmwares. Comme nous l’avions déjà indiqué, stocker un code malveillant directement dans le matériel représente la destination idéale pour les pirates, quels qu’ils soient. En fonction du type de stockage visé, ils seront ainsi certains que le matériel aura préséance, son initialisation se faisant dans tous les cas avant le logiciel, et donc avant le système d’exploitation et les antivirus.

Des implémentations de référence qui rendent les exploitations reproductibles

« Les gens ne sont pas conscients du fait que ces petites puces peuvent réellement infecter leur firmware ». Et si le grand public est effectivement peu à même de comprendre les risques, les chercheurs n’hésitent pas à donner d’autres exemples : « Disons que vous faites tourner une centrifugeuse de raffinement de l’uranium et qu’elle n’est connectée à aucune réseau. Mais des gens viennent avec leurs portables et ils partagent peut-être leur adaptateurs Ethernet ou SSD externes pour expédier ou recevoir des données. Ces SSD ont des firmwares qui pourraient potentiellement transporter ce type d’infection ». On notera que l’exemple des centrifugeuses a été choisi en référence à Stuxnet, qui avait laissé des traces de son infection et avait donc permis l’enquête. Dans le cas de Thunderstrike, la piste serait beaucoup plus complexe à dénicher.

Xeno Kovah et Trammell Hudson indiquent par ailleurs que les problèmes de sécurité résident surtout dans le modèle global des firmwares EFI, utilisés par de nombreux constructeurs pour leurs machines et périphériques. « La plupart de ces firmwares sont bâtis à partir des mêmes implémentations de référence, donc quand quelqu’un trouve un bug qui affecte les ordinateurs portables Lenovo, il y a de bonnes chances qu’il affecte également ceux de Dell et HP » explique ainsi Kovah. Certaines vulnérabilités sont actuellement corrigées, mais les chercheurs n’ont pas dit lesquelles. Dans le cas d’Apple, seule une faille a été pleinement colmatée, une autre partiellement et trois autres restent ouvertes.

Pas de solution idéale, mais la rapidité prime

Comment régler le problème dans ce cas ? Les constructeurs pourraient signer leurs firmwares et mises à jour, tout en intégrant un mécanisme de vérification de ces signatures. Il s’agirait alors de contrôler l’intégrité de ce qui est présenté à un appareil. Comme le fait cependant remarquer Wired, cette méthode comporte un important bémol : si un groupe de pirates a les ressources suffisantes (notamment s’ils sont aidés par un gouvernement), ils pourraient être en mesure de voler la clé maître d’un constructeur, lui ouvrant de nombreuses portes.

D’autres informations seront probablement dévoilées durant la présentation de leurs derniers travaux le 6 août, lors de la conférence Black Hat. En attendant, la thématique des infections de firmwares est essentiellement secrète pour le grand public, ce qui ne signifie pas que l’industrie reste les bras croisés : « Certaines sociétés comme Dell et Lenovo ont été très actives en essayant de supprimer rapidement les vulnérabilités de leur firmware. La plupart des autres, dont Apple, ne l’ont pas fait ».

20

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Thunderstrike revient et peut être déclenchée à distance

Une technique efficace et particulièrement discrète

Des implémentations de référence qui rendent les exploitations reproductibles

Pas de solution idéale, mais la rapidité prime

Commentaires (20)


Le seul point positif, c’est que le champs d’action de ces virus est pour le moment limité








Northernlights a écrit :



Le seul point positif, c’est que le champs d’action de ces virus est pour le moment limité





Et en quoi leurs champs d’action est limité? si tu parles parce que la faille a été trouvé sur Thunderbolt, elle existe certainement déjà pour les autres systèmes d’exploitation. Sinon, peux-tu éclairer ma lanterne en donnant plus de précision à tes propos? Merci.



C’est moi, où on avait la même faille de sécurité sur l’USB il n’y a pas si longtemps ?&nbsp;<img data-src=" />


Non la Faille de l’USB était beaucoup moins efficace et beaucoup moins discrète.


En tout cas, le vers qui corrige la faille qui lui a permis d’infecter la machine <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />








eliumnick a écrit :



En tout cas, le vers qui corrige la faille qui lui a permis d’infecter la machine <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Ça me fait penser à &nbsp;certains Rootkit qui font anti-virus pour éviter que l’utilisateur cherche plus profondément en cas d’infection secondaire. (du genre OpenCandy ou un PUP du genre qui ferait râler rapidement bon nombre d’AV)

Je me demande si ce n’était pas Stuxnet d’ailleurs … Ou un Zeus-like.

&nbsp;

&nbsp;Édit: fraute de fappe.



Rohhhh le gros sujet à troll


La méthode de signature des firmwares est quand même la plus efficace, je suis d’ailleurs étonné qu’elle ne soit pas déjà en place. Evidemment, un vol de la clé maitre ouvre toutes les portes, mais cette méthode de protection à l’avantage de nécessiter bien souvent un accès physique : la clé de signature peut (et doit) tout à fait être stockée dans un coffre fort dans les locaux d’Apple par exemple. Bon courage aux gouvernements ennemis qui voudraient la dérober pour signer de faux firmwares.

&nbsp;

En attendant ça bloquera 99% des autres attaques, à moins bien sûr que le mécanisme de vérification de la signature soit lui-même buggué.


De nos jours il y a moins de fuites dans les couches culottes que chez Apple et µsoft réunis.


En même temps, vu le nombre de périphériques Thunderbolt en circulation (quand les tarifs riment avec dissuasifs…), ça ne risque pas de concerner grand monde.


La signature du firmware n’est vérifiée que par l’outil de mise à jour. Au boot, seul le crc32 est vérifié. C’est trivial.



&gt;&gt;https://youtu.be/5BrdX7VdOr0









Northernlights a écrit :



Le seul point positif, c’est que le champs d’action de ces virus est pour le moment limité





Les virus, tel que StuxNet, utilisent plusieurs vecteurs pour se propager (notamment là où il n’y a pas le net). Il faut imaginer cette faille comme n’étant possiblement que l’un d’entre eux.



Firewire… le retour… en pire! Un accès quasi direct, de l’extérieur, au bus PCIe: Les gags étaient prévus de longue date!








Mimigallifrey a écrit :



Ça me fait penser à &nbsp;certains Rootkit qui font anti-virus pour éviter que l’utilisateur cherche plus profondément en cas d’infection secondaire. (du genre OpenCandy ou un PUP du genre qui ferait râler rapidement bon nombre d’AV)

Je me demande si ce n’était pas Stuxnet d’ailleurs … Ou un Zeus-like.

&nbsp;

&nbsp;Édit: fraute de fappe.





Je pense que tu te méprend. Certains malwares détectent et suppriment d’autres malwares mais uniquement pour être le seul à avoir la main sur le système&nbsp; <img data-src=" /> enfin c’est ce qui me parait le plus logique.



Moi je dis: FAKE !



Y a pas de virus sur Mac, vu que ca utilise un noyau linux.







#champion_du_monde








127.0.0.1 a écrit :



Moi je dis: FAKE !



Y a pas de virus sur Mac, vu que ca utilise un noyau linux BSD.







#champion_du_monde





<img data-src=" />



Thunderbolt n’est pas un OS mais un format de connexion d’Intel. Un peu comme l’USB 3.1 mais en deux fois plus rapide.








RaoulC a écrit :



Je pense que tu te méprend. Certains malwares détectent et suppriment d’autres malwares mais uniquement pour être le seul à avoir la main sur le système&nbsp; <img data-src=" /> enfin c’est ce qui me parait le plus logique.





Oui, évidement, quand j’écrivais “faire anti-virus”, c’était dans le sens “dégager des malwares connus et repérables”, pas au sens de protéger l’ordinateur. Pas rêver non plus.&nbsp;<img data-src=" />

&nbsp;

Après, c’était FinFisher (de mémoire) qui mimait le comportement de Malware connus pour qu’en cas de détection, l’AV ne “cherche pas plus loin” et &nbsp;se contente de supprimer la partie visible d’un faux-iceberg.









pv_le_worm a écrit :



Thunderbolt n’est pas un OS mais un format de connexion d’Intel. Un peu comme l’USB 3.1 mais en deux fois plus rapide.





Merci mais je sais déjà ça ;-)

Et cette technologie est implémenté sur tout les ordinateurs ou seulement sur les Mac? (hors addition).

Petite astuce : voici le résultat d’une recherche sur RueDuCommerce : =30-0-0]http://search.rueducommerce.fr/search?s=Thunderbolt&a[]=30-0-0

Après c’est sûr que sur certain PC autre que Mac on peux en trouver, mais ils restent très rares ! (donc on en reviens à Thunderbolt = Mac)



C’est surtout une connectique destinée pour le domaine pro taillé pour du gros transfert de données (montage vidéo par exemple). C’est pas le genre de machines que tu trouvera orienté grand public. Sauf chez Apple qui mise sur cette techo depuis son lancement.








yl a écrit :



<img data-src=" />







Ni l’un ni l’autre <img data-src=" />