Orm kan inficere firmware på Mac

Artiklen blev oprindeligt publiceret den 4/8/2015

Sikkerhedsforskere har demonstreret en orm, der spreder sig ved at inficere firmwaren på Mac-computere. Ormen kan spredes via udstyr, der kobles til Thunderbolt-porten.

En Mac kan blive inficeret, hvis brugeren afvikler et skadeligt program. Det kan for eksempel ske via i links i en e-mail. Det skadelige program inficerer computerens BIOS (Basic Input Output System). Derfor kan det ikke fjernes, selvom man sletter harddisken.

Det skadelige program i BIOS afventer så, at der tilsluttes udstyr med såkaldt option ROM til computerens Thunderbolt-port. Når det sker, inficeres indholdet af option ROM.

Option ROM indlæses, når en computer booter med udstyret tilsluttet. Så hvis det eksterne udstyr flyttes til en anden computer, kan dens BIOS blive inficeret af programmet i option ROM.

Sikkerhedsforskerne Xeno Kovah og Trammell Hudson har demonstreret angrebet på konferencen BlackHat i denne uge. De har udnyttet fem sårbarheder i BIOS på Mac. De oplyser til Wired, at Apple har lukket et af hullerne fuldstændig og delvis lukket et andet.

Anbefaling
Installer sikkerhedsopdateringer fra Apple. Undlad at afvikle programmer fra ukendte kilder.

Links

• Researchers Create First Firmware Worm That Attacks Macs, artikel fra Wired
• Thunderstrike 2 "firmworm" for MacBooks Preview Video, YouTube
• OS X remote malware strikes Thunderbolt, hops hard drive swaps, artikel fra The Register