Malware kan inficere firmware på Mac-computere

Forskere har udviklet en firmware-orm, der inficerer Mac-computere og som smitter ved at inficere udstyr, der kobles til. Ormen kan ikke opdages af traditionelle sikkerhedsprogrammer

7. august 2015 Lars Bennetzen Nyheder, Sikkerhed, Tophistorier
Mac

I disse dage løber sikkerhedskonferencen Black Hat af staben i Las Vegas, og her fremviser de to sikkerhedseksperter og forskere, Xeno Kovah og Corey Kallenberg fra Legbacore, en koncept-malware frem, for at demonstrere at Mac-computere ikke er mindre sårbare over for angreb rettet mod computeres firmware.

Udover at inficere firmwaren på en Mac, så viser de to sikkerhedsfolk også, hvor let det at smitte andre computere, selvom Mac’en ikke er tilsluttet nettet.

Ifølge Wired.com sker smitten ved at ormen skriver sig selv til en såkaldt Options Rom på den tilsluttede hardware, og så snart den bliver koblet til en Mac, der endnu ikke er inficeret, så vil ormen automatisk skrive sig selv ned i firmwaren på den usmittede Mac.

Mac og pc lige sårbare

Grunden til at Mac er ligeså sårbar som en Windows-baseret pc er, at de begge i langt de fleste tilfælde bygger på samme type hardware og dermed også samme firmware. De to forskere har så undersøgt en lang række computere fra blandt andet Dell, Lenovo, Samsung og HP,og fundet en række sårbarheder, der inficerede over 80% af de undersøgte computere.

De undersøgte så om de samme sårbarheder kunne ramme Apples computere, og fem ud af seks sårbarheder påvirkede også Mac-computere.

Naturligvis har de to forskere givet besked til producenterne og blandt andet Apple er i fuld gang med at patche firmwaren for at lukke hullerne. Men i skrivende stund er tre ud af de fem sårbarheder stadig en direkte vej ind til Mac’ens firmware.

God til isolerede computere

Firmware-angreb hører til blandt de meget seriøse angreb, fordi det er den slags angreb ingen forventer eller beskytter sig imod. Almindelige sikkerhedsprogrammer scanner computerens hukommelse og programmer, men kommer slet ikke i nærheden af firmwaren, og da firmwaren er det, der starter operativsystemet, så bliver den altid startet op først.

På den måde kan den endda beskytte sig mod scan, der går direkte mod firmware, og selv en opdatering af firmwaren er ingen hjælp. Malware, der er placeret i firmware på en computer, kan uden problemer inficere opdateringen og være fuldt ud lige så aktiv efter en opdatering som før.

Den kan heller ikke fjernes ved en total geninstallering af operativsystem – eneste to muligheder, ifølge Xeno Kovah og Corey Kallenberg, er at flashe firmware med en frisk firmware, eller smide computeren ud og købe en ny.

Netop fordi denne type malware ikke er afhængig af en netforbindelse for at smitte, men kan smitte gennem tilkoblede enheder såsom Thunderbolt-enheder, er den oplagt at bruge til at smitte computere, der står i for eksempel kraftværk.

Disse computere bliver ofte brugt i forbindelse med eksterne diske, og er en sådan inficeret på flash-niveau, er det ifølge de to forskere ingen sag at smitte videre til alle computere, pc og Macs, den bliver forbundet til.

De patches, der bliver lavet i øjeblikket, er kun halve løsninger, fortæller Xeno Kovah og Corey Kallenberg. Det er nemlig stadig let at få adgang til firmware, så længe hardwareproducenterne ikke udstyrer dem med en krypteret signatur eller en metode til ved opstart at tjekke om firmware er ændret.

Men disse modtræk skal vi næppe forvente at komme til at se, for det vil betyde, at arkitekturen skal skrives markant om, og det vil være en kostbar affære.

Du kan finde den fulde artikel her.

About Lars Bennetzen 4194 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.

Relaterede Artikler

Nyheder

Ny beskyttelse til hjemmets smarte enheder fra Netgear

23. januar 2018 Lars Bennetzen Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Netgear lancerer en ny omfattende sikkerhedsservice, der giver sikkerhed til enhver enhed, der er forbundet til internettet via en Netgear-router. Netgear Armor er en avanceret multilags-løsning, der er baseret på Bitdefender, og kører på routere fra Netgear. Den opdager og beskytter aktivt dit smarte hjem og dine familiemedlemmer mod cybertrusler som virus, spyware, spam og phishing. ”Behovet for en altomfattende cybersikkerhedsløsning til hele hjemmet er større end nogensinde før” forklarer Ciprian Istrate, der er Bitdefenders Vice President of Consumer Solutions. ”Efter at have lanceret den første løsning, der giver cybersikkerhed til alle tilsluttede IoT-enheder (Internet of Things) i hjemmet, tager Bitdefender nu det næste skridt sammen med NETGEAR – nemlig at levere denne sikkerhed direkte fra routeren.” Netgear Armor-firmwaren sørger for øjeblikkelig beskyttelse af pc’er, Macs, smartphones og tablets centralt fra routeren. Abonnementet inkluderer også Bitdefender Total Security til Windows, macOS, IOS og Android. Samlet vil pakken blokere forsøg på at tilgå phishing-websider fra dit netværk i routeren, så dine data og dit privatliv altid er beskyttet. Sikker browsing med URL-blokering Aktiv beskyttelse af dit netværk mod trusler som trojanere, ransomware, dag-nul-exploits, rootkits og spyware. Falske websider, der f.eks. forsøger at opfange passwords eller pengetransaktioner, bliver automatisk blokeret, og du kan endda se, om et link er sikkert, inden du klikker på det. Sårbarhedstjek Undersøger netværkets enheder for styrken af passwords, forældet firmware og andre sårbarheder, der kan give hackere adgang til dit netværk. Det er nemt at tjekke hele netværket, og rapporten indeholder tips, der kan sikre enhederne. Du …. (læs mere her)
Business

Flere og mere avancerede hackerangreb

29. juli 2021 Lars Bennetzen Business, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
HP har lige sendt deres nyeste globale trusselsrapport på gaden, og den viser at hackerangreb er stigene og samtidig bliver mere sofistikerede. Den kan også fortælle at der er sket en stigning på 65% i brugen af hackingværktøjer, der hentes fra fora og fildelingstjenester på dark web. Rapporten, der er baseret på analyse af forskellige typer cybersikkerhedsangreb og sårbarheder, viser ydermere at slutbrugere stadig er sårbare over for phishing-angreb, der ofte udgiver sig for at være fakturaer og forretningstransaktioner. Den stigende spredning af piratkopierede hackingværktøjer og underjordiske fora gør det nu muligt for tidligere ellers ufarlige cyberkriminelle at udgøre en alvorlig fare for virksomheders sikkerhed. Samtidig ser vi fortsat slutbrugere blive offer for simple phishing-angreb igen og igen. Sikkerhedsløsninger, der sikrer at IT-afdelinger holder sig foran fremtidige trusler, er nøglen til at maksimere cybersikkerheden og modstandsdygtigheden over for disse hackere. Ian Pratt, Global Head of Security hos HP Trusler identificeret i HP Wolf rapporten: Cyberkriminelt samarbejde åbner døren for større angreb mod ofre: Dridex-datterselskaber sælger adgang til sårbare organisationer til andre trusselsaktører, hvorfra de nemt kan distribuere ransomware. Faldet i Emotet-aktivitet i 1. kvartal 2021 har ført til, at Dridex nu topper listen over mest aktive malware, ifølge HP Wolf Security. Informationsstjælere, der leverer ondskabsfuldt malware: CryptBot-malware – historisk set brugt som en infostealer til at afskaffe legitimationsoplysninger fra cryptocurrency-tegnebøger og webbrowsere – bruges også til at levere DanaBot – en banking trojan, der drives af organiserede kriminelle grupper. VBS-downloader-kampagne, der er målrettet forretningsledere: En flertrins Visual Basic Script-kampagne (VBS) …. (læs mere her)
Kommentar til artiklen?