Thunderstrike 2, rootkit per Mac alla riscossa

Roma - I Mac possono essere molto più insicuri dei PC, soprattutto in fase di boot; la dimostrazione di questa poco invidiabile qualità arriva da Thunderstrike 2, attacco in via di presentazione alle conferenze hacker di agosto (DEF CON, Black Hat) progettato per sfruttare le vulnerabilità di sicurezza nel firmware EFI per la gestione a basso livello della piattaforma informatica di Apple. Una piattaforma oramai costantemente sotto attacco nonostante le patch di Cupertino.


I ricercatori che hanno creato la nuova minaccia includono quelli già attivi su Thunderstrike, una prima versione dell'attacco presentata a inizio anno e che viene resa ancora più pericolosa grazie alla capacità di agire da remoto, tramite email di phishing o altre strategie utili a incoraggiare il download e l'installazione di codice malevolo su sistemi locali tramite Internet.

Thunderstrike 2 installa il proprio codice malevolo nella "Option ROM" inclusa in taluni accessori per porta Thunderbolt, un codice che viene poi eseguito durante il boot del Mac (qualora l'accessorio infetto fosse connesso al PC) subito dopo il caricamento della Boot ROM e prima ancora dello stesso firmware EFI.Il codice proof-of-concept di Thunderstrike 2 è in sostanza un rootkit praticamente invisibile, impossibile da identificare con i più sofisticati software di sicurezza moderni e resistente a qualsiasi tentativo di "pulizia", reinstallazione del sistema operativo, sostituzione del disco fisso e tutto quanto. L'attacco corregge le vulnerabilità sfruttate per compromettere il sistema, quindi anche in questo caso non è possibile agire per risolvere il problema.

Thunderstrike sfruttava vulnerabilità parzialmente corrette da Apple, mentre Thunderstrike 2 fa uso di bug ancora aperti e che coinvolgono tutti i sistemi Mac dotati di una porta Thunderbolt. Cupertino, dal canto suo, non si mostra particolarmente veloce ad aggiornare Mac e OS X, come la circolazione di exploit e minacce informatiche in grado di sfruttare la recentemente scoperta vulnerabilità della variabile d'ambiente DYLD_PRINT_TO_FILE stanno a dimostrare.

Non che Thunderstrik 2 rappresenti il primo caso conclamato o teorico di rootkit invisibile, beninteso, o che il problema riguardi solo la piattaforma Mac/OS X: da tempo i ricercatori fanno i conti con minacce apparentemente inafferrabili e difficili persino da definire con precisione, e l'intelligence americana è oramai nota per fare uso di rootkit in grado di rendersi invisibili infettando il firmware dell'hard disk.

Alfonso Maruccia