Два исследователя подготовили для проходящей в США конференции Black Hat доклад о разработанной ими атаке Thunderstrike 2, которая позволяет заразить загрузочную прошивку компьютеров Apple вредоносной программой. Поскольку код прошивки запускается до ядра операционной системы, ни ее переустановка, ни замена жесткого диска не позволяют избавиться от Thunderstrike 2.
В теории встроенное ПО должно быть защищено от вмешательства, но исследователи нашли способ перезаписать прошивку с помощью эксплойта, который позволяет запустить модуль уровня ядра, получить в системе привилегии уровня root и прямой доступ к памяти. В некоторых случаях эксплойт может сразу перезаписать загрузочный код, а если это не удается, используется другая уязвимость, открывающаяся, когда компьютер выходит из спящего режима.
Вредонос также способен записываться в загрузочные микропрограммы (Option ROM) периферийных устройств, подключаемых по интерфейсу Thunderbolt. Если инфицированное устройство затем подключить к другому компьютеру, червь заразит и его прошивку, поскольку код из Option ROM запускается самым первым. Таким образом можно инфицировать даже изолированные компьютеры, специально отключенные от сетей передачи данных.
Исследователи сообщают, что уведомили Apple об уязвимостях.