摘要:据连线杂志报道,一个安全科研团队已经创建了可以在固件级别攻击Mac电脑的蠕虫病毒--“Thunderstrike 2”,这是继今年初出现的感染苹果电脑ROM级的恶意程序“Thunderstrike”的变种。漏洞作者仍为LegbaCore公司创始人,安全专家 Trammell Hudso,他也是另一种BIOS恶意软件Xeno Kovah的创造者。Thunderstrike展示了蠕虫通过外设(Thunderbolt接口)物理接触及利用苹果EFI安全漏洞恶意传播的能力,而 Thunderstrike 2则拥有通过恶意网站或电邮即可传播的能力。

一旦安装了这种名“雷击(Thunderstrike)”的恶意软件,它会替换Mac固件下的引导固件程序,以高优先级的指令获得系统控制权限。这款恶意软件(bootkit)可以绕过固件程序密码验证及硬盘密码验证,在操作系统启动时就预装上后门。该恶意软件通过连接Mac机器Thunderbolt(雷电)接口的外接设备(以太网适配器,外接SSD,RAID控制器等)进行传播。当攻击者使用带有恶意软件的外接设备插入Mac机器中进行引导时,会把恶意Option ROM注入可扩展固件接口(EFI)。

一旦感染上此恶意软件,Mac会在ROM层级固件上感染,目前仅有通过硬件层级的方法才能彻底一出固件,据研究者报道苹果仍未有完全修复这些漏洞,五个可利用的相关漏洞中,仍有三个漏洞苹果未做出反应措施。