Thunderstrike 2, rootkit per Mac alla riscossa
I ricercatori aggiornano un attacco già presentato a inizio anno e lo rendono ancora più pericoloso. Difendersi è molto complicato se non impossibile, e Apple non aiuta: le patch latitano, o sono poco efficaci, come mostrano gli ultimi exploit

I ricercatori che hanno creato la nuova minaccia includono quelli già attivi su Thunderstrike, una prima versione dell'attacco presentata a inizio anno e che viene resa ancora più pericolosa grazie alla capacità di agire da remoto, tramite email di phishing o altre strategie utili a incoraggiare il download e l'installazione di codice malevolo su sistemi locali tramite Internet.
Thunderstrike 2 installa il proprio codice malevolo nella "Option ROM" inclusa in taluni accessori per porta Thunderbolt, un codice che viene poi eseguito durante il boot del Mac (qualora l'accessorio infetto fosse connesso al PC) subito dopo il caricamento della Boot ROM e prima ancora dello stesso firmware EFI.
Thunderstrike sfruttava vulnerabilità parzialmente corrette da Apple, mentre Thunderstrike 2 fa uso di bug ancora aperti e che coinvolgono tutti i sistemi Mac dotati di una porta Thunderbolt. Cupertino, dal canto suo, non si mostra particolarmente veloce ad aggiornare Mac e OS X, come la circolazione di exploit e minacce informatiche in grado di sfruttare la recentemente scoperta vulnerabilità della variabile d'ambiente DYLD_PRINT_TO_FILE stanno a dimostrare.
Non che Thunderstrik 2 rappresenti il primo caso conclamato o teorico di rootkit invisibile, beninteso, o che il problema riguardi solo la piattaforma Mac/OS X: da tempo i ricercatori fanno i conti con minacce apparentemente inafferrabili e difficili persino da definire con precisione, e l'intelligence americana è oramai nota per fare uso di rootkit in grado di rendersi invisibili infettando il firmware dell'hard disk.
Alfonso Maruccia
TAG: sicurezza, tecnologia, thunderbolt, thunderstrike 2, mac, os x, efi, option rom, rootkit, apple