Sortie prévue d’un correctif pour la vulnérabilité Thunderstrike dans la nouvelle version d’OS X

Outre l’élimination des trois vulnérabilités décrites la semaine dernière dans Project Zero, Apple prépare un correctif contre l’attaque de démarrage Thunderstrike qui devrait éliminer ce problème pour tous les Mac tournant sous Yosemite.

D’après les déclarations, toutes les vulnérabilités seront corrigées dans Yosemite 10.10.2, la prochaine version d’OS X qui est au stade de la version bêta.

Le site d’informations d’Apple iMore.com a annoncé vendredi qu’Apple avait du modifier le code "non seulement pour empêcher le remplacement de la ROM de démarrage, mais également pour le protéger contre le retour à l’état où l’attaque était possible".

"D’après les personnes qui ont pu accéder à la dernière version bêta d’OS X 10.10.2 et qui connaissent Thunderstrike et son fonctionnement, il s’agit véritablement d’un processus profond et à plusieurs niveaux qui se conclut finalement" peut-on lire dans la publication.

Cela fait quelques mois maintenant que la nouvelle version de Yosemite fait l’objet de tests et la version bêta la plus récente, 10.10.2 (build 14C106a), a été envoyée aux utilisateurs jeudi dernier.

Nous avons appris la semaine dernière que cette version bêta élimine également trois vulnérabilités découvertes par Google Project Zero. Ces bogues allaient de l’endommagement de la mémoire jusqu’à l’exécution de code de noyau en passant par une fuite du bac à sable. Apple avait été alerté en octobre, mais le délai de 90 jours avant la divulgation des informations de Project One avait expiré la semaine dernière.

Thunderstrike, un bootkit indétectable, peut se propager à l’aide de périphériques malveillants qui se connectent au port Thunderbolt. Les détails relatifs au code d’exploitation furent dévoilés en premier par Trammel Hudson, un chercheur new-yorkais, peu de temps après le Nouvel An à l’occasion de la conférence Chaos Communication Congress (31C3) consacrée à la sécurité informatique et organisée à Hambourg en Allemagne.

Trammel Hudson avait prévenu que le bootkit pouvait se préserver, obtenir un accès root et exposer toutes les données et le trafic Internet sur la machine infectée au risque d’interception.

Bien qu’Apple a résolu le problème sur ses Mac Mini et iMac Retina 5K de 2014, les MacBooks sont toujours vulnérables à l’attaque par abaissement tant que le correctif n’aura pas été complètement diffusé.

Trammel Hudson a annoncé lundi qu’il n’avait pas encore eu le temps d’examiner la version bêta, ce qui ne l’a pas empêché de faire part de son scepticisme.

Il est déclaré que la version qu’il avait testée à Hambourg (MBP101_00EE_B06) était toujours vulnérable à l’attaque par abaissement de version. Il a expliqué qu’il avait démontré aux représentants d’Apple que ce problème pouvait permettre à un individu malintentionné de lancé un ancien micrologiciel vulnérable à Thunderstrike.

Trammel Hudson a ajouté que la version B06 était également vulnérable à l’attaque normale "Option ROM", ce qui a "vraiment perturbé le chercheur" car c’est une attaque de ce type que Thunderstrike utilise pour introduire des micrologiciels périphériques dans l’EFI en vue d’infecter l’ordinateur.

Cela signifie que de nombreux symptômes de Thunderstrike peuvent toujours être présents.

"Les mots de passe d’accès au micrologiciel peuvent être facilement contournés, et comme l’a démontré Snare il y a plus de 30 mois, il est possible d’introduire une backdoor, etc. dans boot.efi." a déclara Trammel Hudson.

Il fait référence ici au chercheur australien et spécialiste des tests d’intrusion Snare dont les travaux ont servi de base au projet de Trammel Hudson. Lors de la conférence Black Hat de 2012 (.PDF) Snare avait démontré comment un rootkit, qui utilisait un adaptateur Thunderbird-Ethernet modifié, pouvait désactiver FileVault et manipuler l’EFI de l’ordinateur.

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *