blog.thecurtiscasa.com

Dua peneliti merancang worm pembuktian konsep yang memungkinkan serangan firmware menyebar secara otomatis dari satu Mac ke Mac lainnya

MANILA, Filipina – Gagasan bahwa Mac milik Apple kurang rentan terhadap serangan mendapat pukulan telak pada hari Senin, 3 Agustus, karena kerentanan yang mempengaruhi PC dan Mac.

Dua peneliti – Xeno Kovah dari LegbaCore, sebuah perusahaan konsultan keamanan firmware, dan Trammell Hudson, insinyur keamanan untuk Two Sigma Investments – telah merancang worm pembuktian konsep yang secara otomatis akan mentransfer serangan firmware dari satu Mac ke Mac lainnya sehingga dapat menyebar.

Laporan berkabel bahwa worm “Thunderstrike 2”, dibuat untuk mengeksploitasi kerentanan yang ditemukan untuk memengaruhi PC dan Mac, memungkinkan penyerang menargetkan mesin dari jarak jauh dan menginfeksi periferal perangkat dengan ROM opsi.

Malware, jika mencapai firmware mesin utama, dapat mencegah pembaruan baru dipasang dengan benar atau menulis sendiri ke pembaruan baru selama proses instalasi.

Hal ini karena firmware beroperasi pada tingkat yang lebih rendah dibandingkan program keamanan dan biasanya tidak dipindai oleh perangkat lunak antivirus.

Biasanya tidak bisa dibunuh

Untuk membunuh malware yang tertanam di firmware utama komputer, seseorang harus mem-flash ulang chip yang berisi firmware tersebut.

Kovah melanjutkan dengan menjelaskan bahwa melakukan hal tersebut sulit dan rumit.

“(Serangan ini) sangat sulit untuk dideteksi, sangat sulit untuk dihilangkan, dan sangat sulit untuk melindungi terhadap sesuatu yang berjalan di dalam firmware,” kata Kovah.

Pengguna tidak dapat dengan mudah memeriksa sendiri firmware untuk menentukan apakah perubahan telah dilakukan.

Menghapus sistem operasi pada mesin yang terinfeksi juga tidak akan berhasil, karena malware berbasis firmware tetap ada di sistem setelah memori dan sistem operasi dihapus seluruhnya.

“Bagi sebagian besar pengguna, ini adalah situasi yang membuang-buang mesin Anda. Kebanyakan orang dan organisasi tidak memiliki sarana untuk membuka mesin mereka secara fisik dan memprogram ulang chip tersebut secara elektrik,” tambah Kovah.

Bagaimana Mac Terinfeksi

Serangan infeksi akan memakan waktu beberapa detik dan dapat dilakukan dari jarak jauh.

Penyerang dapat mengakses firmware boot flash pada Macbook dari jarak jauh melalui serangan phishing atau kode situs web berbahaya.

Setelah terinfeksi, Thunderstrike 2 akan mencari periferal komputer yang berisi ROM opsi, dan kemudian menginfeksi periferal tersebut. Ini termasuk adaptor Thunderbolt Ethernet pada Mac.

Worm dapat menular ke komputer lain jika adaptor yang terinfeksi terhubung ke perangkat lain.

Pada perangkat yang terinfeksi worm, kode berbahaya ditulis dari perangkat yang terinfeksi ke mesin yang terhubung dengannya. Mesin yang terinfeksi selanjutnya dapat menginfeksi perangkat lain yang membawa ROM, dan seterusnya.

Penyerang juga dapat menjual perangkat yang disusupi untuk menyebarkan malware.

“Orang-orang tidak menyadari bahwa perangkat kecil dan murah ini sebenarnya dapat menginfeksi firmware mereka,” jelas Kovah.

“Anda bisa menyebarkan cacing ke seluruh dunia dengan penyebaran yang sangat rendah dan lambat. Jika masyarakat tidak menyadari bahwa serangan dapat terjadi pada tingkat ini, mereka akan waspada dan serangan dapat sepenuhnya merusak sistem mereka.”

Kovah dan Hudson akan melakukannya menyajikan temuan mereka tentang kerentanan dan worm pembuktian konsep pada konferensi Black Hat di Las Vegas pada tanggal 6 Agustus. – Rappler.com