นักวิจัยสร้างมัลแวร์เจาะเครื่องแมคผ่านเฟิร์มแวร์พอร์ต Thunderbolt, แอนตี้ไวรัสกันไม่ได้

by mk
5 August 2015 - 03:17

เมื่อไม่นานมานี้ เคยมีนักวิจัยด้านความปลอดภัย Trammell Hudson สร้างต้นแบบมัลแวร์ชื่อ Thunderstrike ที่กระจายตัวผ่านเฟิร์มแวร์พอร์ต Thunderbolt เมื่อนำไปเสียบกับเครื่องแมค (หรือพีซีที่มี Thunderbolt) จะแพร่กระจายไปได้เรื่อยๆ ทั้งบนคอมพิวเตอร์และอุปกรณ์เสริม

แอปเปิลแพตช์แก้ช่องโหว่นี้แล้วใน OS X 10.10.2 แต่ทางทีมวิจัยพบว่าแอปเปิลยังแพตช์ช่องโหว่ไม่ครบ และสร้าง Thunderstrike 2 ที่สามารถกระจายตัวได้แบบเดียวกัน แถมยังโหดกว่าเดิม เพราะ Thunderstrike เวอร์ชันแรกต้องอาศัยการเสียบอุปกรณ์ที่ติดมัลแวร์เข้ากับเครื่องแมคโดยตรง แต่ Thunderstrike 2 สามารถกระจายตัวได้ผ่านอินเทอร์เน็ตด้วย ถ้าหากผู้ใช้โดนหลอกให้ดาวน์โหลดไฟล์มัลแวร์มารัน และมีอุปกรณ์ Thunderbolt เสียบอยู่ก็จะติดมัลแวร์ทันที (แถมกระจายไปติดเครื่องแมคอื่นๆ ที่นำอุปกรณ์ชิ้นนั้นไปเสียบด้วย)

จุดเด่นของมัลแวร์ที่ระดับของเฟิร์มแวร์คือตรวจสอบได้ยากมากเพราะไม่อยู่ในแรมหรือดิสก์ ทำให้แอนตี้ไวรัสตรวจสอบไม่พบ อย่างไรก็ตาม ตัว Hudson เองยังไม่เผยแพร่รายละเอียดของเทคนิคนี้ และ Thunderstrike 2 มีสถานะเป็นแค่มัลแวร์ต้นแบบ (proof-of-concept) เพื่อสาธิตว่าสามารถเจาะช่องโหว่ได้เท่านั้น ที่เหลือคงต้องรอแอปเปิลและผู้ผลิตพีซีรายอื่นๆ แพตช์แก้ช่องโหว่กันต่อไปครับ

ที่มา - Wired, Ars Technica

Blognone Jobs Premium