Infos

Sortie prévue d’un correctif pour la vulnérabilité Thunderstrike dans la nouvelle version d’OS X

Outre l’élimination des trois vulnérabilités décrites la semaine dernière dans Project Zero, Apple prépare un correctif contre l’attaque de démarrage Thunderstrike qui devrait éliminer ce problème pour tous les Mac tournant sous Yosemite.

D’après les déclarations, toutes les vulnérabilités seront corrigées dans Yosemite 10.10.2, la prochaine version d’OS X qui est au stade de la version bêta.

Le site d’informations d’Apple iMore.com a annoncé vendredi qu’Apple avait du modifier le code "non seulement pour empêcher le remplacement de la ROM de démarrage, mais également pour le protéger contre le retour à l’état où l’attaque était possible".

"D’après les personnes qui ont pu accéder à la dernière version bêta d’OS X 10.10.2 et qui connaissent Thunderstrike et son fonctionnement, il s’agit véritablement d’un processus profond et à plusieurs niveaux qui se conclut finalement" peut-on lire dans la publication.

Cela fait quelques mois maintenant que la nouvelle version de Yosemite fait l’objet de tests et la version bêta la plus récente, 10.10.2 (build 14C106a), a été envoyée aux utilisateurs jeudi dernier.

Nous avons appris la semaine dernière que cette version bêta élimine également trois vulnérabilités découvertes par Google Project Zero. Ces bogues allaient de l’endommagement de la mémoire jusqu’à l’exécution de code de noyau en passant par une fuite du bac à sable. Apple avait été alerté en octobre, mais le délai de 90 jours avant la divulgation des informations de Project One avait expiré la semaine dernière.

Thunderstrike, un bootkit indétectable, peut se propager à l’aide de périphériques malveillants qui se connectent au port Thunderbolt. Les détails relatifs au code d’exploitation furent dévoilés en premier par Trammel Hudson, un chercheur new-yorkais, peu de temps après le Nouvel An à l’occasion de la conférence Chaos Communication Congress (31C3) consacrée à la sécurité informatique et organisée à Hambourg en Allemagne.

Trammel Hudson avait prévenu que le bootkit pouvait se préserver, obtenir un accès root et exposer toutes les données et le trafic Internet sur la machine infectée au risque d’interception.

Bien qu’Apple a résolu le problème sur ses Mac Mini et iMac Retina 5K de 2014, les MacBooks sont toujours vulnérables à l’attaque par abaissement tant que le correctif n’aura pas été complètement diffusé.

Trammel Hudson a annoncé lundi qu’il n’avait pas encore eu le temps d’examiner la version bêta, ce qui ne l’a pas empêché de faire part de son scepticisme.

Il est déclaré que la version qu’il avait testée à Hambourg (MBP101_00EE_B06) était toujours vulnérable à l’attaque par abaissement de version. Il a expliqué qu’il avait démontré aux représentants d’Apple que ce problème pouvait permettre à un individu malintentionné de lancé un ancien micrologiciel vulnérable à Thunderstrike.

Trammel Hudson a ajouté que la version B06 était également vulnérable à l’attaque normale "Option ROM", ce qui a "vraiment perturbé le chercheur" car c’est une attaque de ce type que Thunderstrike utilise pour introduire des micrologiciels périphériques dans l’EFI en vue d’infecter l’ordinateur.

Cela signifie que de nombreux symptômes de Thunderstrike peuvent toujours être présents.

"Les mots de passe d’accès au micrologiciel peuvent être facilement contournés, et comme l’a démontré Snare il y a plus de 30 mois, il est possible d’introduire une backdoor, etc. dans boot.efi." a déclara Trammel Hudson.

Il fait référence ici au chercheur australien et spécialiste des tests d’intrusion Snare dont les travaux ont servi de base au projet de Trammel Hudson. Lors de la conférence Black Hat de 2012 (.PDF) Snare avait démontré comment un rootkit, qui utilisait un adaptateur Thunderbird-Ethernet modifié, pouvait désactiver FileVault et manipuler l’EFI de l’ordinateur.

Source : Threatpost

Sortie prévue d’un correctif pour la vulnérabilité Thunderstrike dans la nouvelle version d’OS X

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception