В компьютерах Apple обнаружена уязвимость нового типа

В компьютерах Apple обнаружена уязвимость нового типа

Специалист по информационной безопасностиТраммель Хадсон(Trammell Hudson) из американской компании Two Sigma Investments написал первый буткит для Mac. Буткит — это вредоносная программа, которая модифицирует загрузочный сектор накопителя в компьютере, позволяя обойти любую защиту от несанкционированного доступа на низком уровне.

Хадсон обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на этом устройстве находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет.

Эксперт нашел уязвимость в методе проверки подлинности и научился обманывать систему, заставляя ее запускать произвольный код. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера, сообщает safe.cnews.ru.

Установить буткит Thunderstrike — так его назвал автор — удаленно не получится, необходим физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса. Зато хакеру предоставляются широкие возможности, говорит эксперт.

Для Thunderstrike не являются помехой ни парольная защита, ни шифрование данных на диске, так как взлом происходит до того, как они вступают в силу. Кроме того, так как вредоносный код записывается в загрузочный сектор диска, его никак нельзя обнаружить.

По словам Хадсона, найденная им уязвимость открывает широкие возможности спецслужбам, которые могли бы устанавливать «жучки» в компьютеры до их отправки за рубеж. В частности, этим промышляло АНБ,перехватывая и оснащая лазейкамироутеры Cisco, направляемые иностранным заказчикам. Прелесть такого «жучка» в том, что пользователь никогда не сможет узнать о его существовании и как-либо удалить его стандартными методами. Если он отформатирует диск компьютера или переустановит операционную систему, буткит из загрузочного сектора никуда не денется.

«Записываемая в загрузочный сектор прошивка проверяется только однажды, в момент записи. Позже никто и никогда ее больше не проверяет, потому что в этом нет нужды», — добавил эксперт.

Хадсон сообщил, что он уже уведомил Apple о найденной уязвимости. Компания уже выпустила патчи для Mac Mini и iMac Retina. Ожидается, что для других моделей обновления выйдут в ближайшее время.

Ранее, в 2012 г. на конференции Red Hat был продемонстирован похожий метод взлома технологии шифрования FileVault, которую Apple использует в своих компьютерах. В отличие от Thunderstrike, авторы эксплойта не перезаписывали загрузочный сектор. Тем не менее, для взлома Mac они использовали тот же интерфейс — Thunderbolt. Он применяется в компьютерах Apple начиная с 2011 г.

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

RSS: Новости на портале Anti-Malware.ru