ブートキットはアンチウイルスソフトやウイルススキャナーでの検知・削除が困難。ユーザーが検知するためにはファームウェア分析が必要になり、ある程度のスキルを持っていることが前提となります。研究者からは無料で使えるオプションROMチェッカーがいくつか提供されていますが、まずはユーザーがチップレベルセキュリティの基本を学ぶことが必要になるだろうとForbesは提言しています。 ちなみに、Kovah氏は「Appleは、本当にやるべき予防策を採っていない部分がある」と指摘しています。 Thunderstrike 2: Remote Attacks Can Now Install Super Stealth 'Firmworm' Backdoors On Apple Macs - Forbes http://www.forbes.com/sites/thomasbrewster/2015/08/03/apple-mac-firmworms/ これらの詳細について、ハドソン氏は Black Hat USA 2015 、および DEF CON 23 で発表を行うことになっています。 ・2015/08/12 12:05追記 DEF CON 23とBlack Hat USA 2015での発表内容がスライドを交えて公開されました。この中で、Rafal Wojtczuk氏とCorey Kallenberg氏によって指摘されたWindowsとLinuxのUEFIセキュリティの話からハドソン氏がヒントを得て「Macで適応可能ならどうなるか？」「Thunderstrikeと組み合わせれば？」と考えて見つけたのがThunderstrike2だったことが明かされました。 Thunderstrike2 details - Trammell Hudson's Projects https://trmm.net/Thunderstrike2_details 脆弱性が見つかってから修正パッチが出るまでに攻撃を行うことをゼロデイ攻撃と呼びますが、Thunderstrike2は新しい脆弱性を突いたゼロデイ攻撃ではなく、すでに他のプラットフォームで指摘され修正パッチも出されているような「古い脆弱性」に対する攻撃だとのこと。 以下はハドソン氏が示した、2013年～2014年には情報が開示されている脆弱性に対するMac OS Xの状況で、「Snorlax/PriceHarming」と呼ばれる脆弱性は2015年6月に修正済み。2014年に判明した「Darth Venamis」は部分的に修正済み。しかし、「SpeedRacer/BIOS_CTNL」「King's Gambit」「The Sicilian」などは放置されているそうです。

・関連記事

IntelがIris Pro搭載第5世代CoreプロセッサやThunderbolt 3を発表 - GIGAZINE



MacBookのEFIにThunderbolt経由でブートキットが感染し検知や削除不能＆ウイルス拡散もされてしまう脆弱性が発見される - GIGAZINE



PCの外部インターフェース経由でパスワードロックを回避するハッキング手法が公開される - GIGAZINE



2015年08月04日 14時33分00秒 in 動画, Posted by logc_nt

You can read the machine translated English article here.