Twee onderzoekers hebben een worm met de naam ‘Thunderstrike 2‘ ontwikkeld. Deze worm nestelt zich in de firmware van computers, zo ook bij de Mac-varianten. Doordat de worm zich diep in het systeem graaft, wordt deze niet snel opgemerkt door een antivirusprogramma en is bovendien lastig te verwijderen.
De ‘Thunderstrike 2’ worm nestelt zich via het besturingssysteem diep in de root van Mac-computers. Dit maakt het mogelijk om de toegangsregels te veranderen. Doordat de worm zich diep in het systeem graaft, wordt deze niet snel opgemerkt door een antivirusprogramma. Bovendien is het voor de gemiddelde mens lastig om de worm te verwijderen: de enige oplossing is om de chip waarop de firmware is geïnstalleerd te herprogrammeren. Dit betekent volgens onderzoeker Xeno Kovah dat de meeste gebruikers hun computer moeten weggooien, omdat zij niet in staat zijn om de chip te herprogrammeren.
Proof of concept
Eerder dit jaar werd de Thunderstrike tijdens de beveiligingsbeurs CCC gepresenteerd. Thunderstrike 2 is hier de opvolger van. De nieuwe variant is ontwikkeld door onderzoekers Xeno Kovah en Trammell Hudson. Het gaat hier om een proof of concept om te bewijzen dat deze worm schade kan aanrichten. Er zijn volgens de NOS in totaal vijf kwetsbaarheden gevonden. De onderzoekers hebben Apple ingelicht over de worm en werken samen om het lek te dichten. Tot nu toe zijn er twee kwetsbaarheden gerepareerd.
De details rondom de worm worden deze week (6 augustus) tijdens de Black Hat conferentie in Las Vegas bekendgemaakt.
Vaag verhaal.
Eerst staat er: ‘nestelt zich in de firmware van computers (PC’s?????), zo ook bij de MAC varianten’.
Dus nestelt zich het OOK in de firmware van een MAC????
Ik vraag dit omdat een paar regels verder in het artikel staat:
De ‘Thunderstrike 2’ worm nestelt zich via het besturingssysteem diep in de root van Mac-computers.
Dus NIET in de firmware??
Het is inderdaad een erg wazig verhaal, Robbert!
De Thunderstrike 2 worm is de tweede versie van een infectie die je via hardware op kunt lopen.
De naam van de worm is een woordspeling, en slaat op de Thunderbolt aansluiting die sinds enige jaren op alle Macs en om sommige pc’s zit. Degene die je computer (Mac, pc) wil besmetten, moet fysiek toegang tot die computer hebben, om zo een apparaat aan te sluiten dat de worm via Thunderbolt in de EFI (de moderne versie van de BIOS) stopt. Daarnaast is het een PoC, dus er is geen garantie op besmetting, ook al heb je “de juiste” worm-verspreidende hardware.
En die conclusie, dat de meeste mensen met een geïnfecteerde computer deze weggooien: wat een onzin!
De meeste automobilisten kunnen geen distributieriem vervangen. Maar toch zullen er niet veel autobezitters zijn die hun auto bij 120.000 km weggooien. Even naar de garage gaan doet wonderen! Idem met een computer: ga naar een specialist, die kan het probleem oplossen.