Nuevo hack permite reescribir el firmware y crear una puerta trasera permanente en casi todos los PCs con Mac OS X

Nuevo error de día cero de Apple Mac OSX permite a los hackers instalar malware RootKit al reprogramar el BIOS

Un investigador de seguridad de OS X ha descubierto una nueva forma de sobrescribir el firmware y tomar control de casi todos los Macs que tienen más de un año.

El ataque, que Vilaca ha publicado en su blog, afecta a los Macs enviados antes de mediados de 2014 que pueden entrar en modo de suspensión.

Vilaca ha escrito un script para reprogramar el BIOS de un Mac utilizando funcionalidad contenida en userland. Userland es una parte de inicio de Mac OS donde se ejecutan todas las aplicaciones y controladores. El script de Vilaca funciona explotando vulnerabilidades como las que se encuentran regularmente en Safari y otros navegadores web.

Ars Technica dice que la explotación de Vilaca es más seria que la explotación de prueba de concepto Thunderstrike que fue descubierta en diciembre de 2014. Al igual que la vulnerabilidad Thunderstrike, la explotación de Vilaca también le da a los hackers el mismo nivel de control de un Mac, pero a diferencia de Thunderstrike, que debe ser instalado físicamente en un Mac, esta explotación puede ser ejecutada de forma remota y los hackers pueden obtener control remoto del Mac objetivo.

“El BIOS no debería ser actualizado desde userland y tienen ciertas protecciones que intentan mitigar esto,” escribió Vilaca en un correo electrónico a Ars. “Si el BIOS es escribible desde userland, entonces se puede instalar un rootkit en el BIOS. Los rootkits de BIOS son más poderosos que los rootkits normales porque funcionan a un nivel más bajo y pueden sobrevivir a cualquier reinstalación de máquina y también a actualizaciones de BIOS.”

La explotación de Vilaca apunta a la protección del BIOS de Mac conocida como FLOCKDN. Normalmente, FLOCKDN permite a las aplicaciones de userland acceso de solo lectura a la región del BIOS; sin embargo, Vilaca descubrió que la protección FLOCDN se desactiva de alguna manera después de que el Mac despierta de un modo de suspensión.

Este error o brecha en el procesamiento es utilizado por la explotación para reescribir el BIOS a través de un proceso típicamente conocido como reprogramación. Una vez que el BIOS es reprogramado, los hackers potenciales pueden modificar la interfaz de firmware extensible (EFI) del Mac, el firmware responsable de iniciar el modo de gestión del sistema de un Mac y habilitar otras funciones de bajo nivel antes de cargar el sistema operativo.

“El flash está desbloqueado y ahora puedes usar flashrom para actualizar su contenido desde userland, incluyendo binarios EFI. Esto significa un rootkit similar a Thunderstrike estrictamente desde userland,” dice Vilaca en la publicación del blog.

Vilaca dice que un exploit de tipo drive-by plantado en un sitio web hackeado o malicioso podría ser utilizado para activar el ataque al BIOS.

“El error puede ser utilizado con un vector remoto de Safari u otro para instalar un rootkit EFI sin acceso físico,” escribió Vilaca. “El único requisito es que se haya producido una suspensión en la sesión actual. No he investigado, pero probablemente podrías forzar la suspensión y activar esto, todo de forma remota. Eso es una posesión épica ;-).”

Vilaca dice que un hacker potencial podría simplemente agregar un código para enviar a un Mac objetivo y ejecutar la explotación la próxima vez que el Mac despierte de la suspensión.

“Una explotación podría verificar si la computadora ya había entrado previamente en modo de suspensión y es explotable, podría esperar hasta que la computadora se duerma, o puede forzar la suspensión y esperar la intervención del usuario para reanudar la sesión,” dijo Vilaca a Ars. “No estoy seguro de que la mayoría de los usuarios sospecharían que algo raro está sucediendo si su computadora simplemente se duerme. Esa es la configuración predeterminada de todos modos en OS X.”

Vilaca ha confirmado que su ataque funciona contra un MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air, todos los cuales ejecutaron el último firmware EFI disponible de Apple. Los Macs lanzados después de mediados de 2014 son inmunes a este tipo de ataque. Vilaca no está seguro de la razón, pero dice que tal vez Apple ha parcheado silenciosamente la vulnerabilidad o se ha solucionado accidentalmente a través de alguna otra actualización.

Apple aún no ha comentado sobre la vulnerabilidad. La única forma de mitigar esta vulnerabilidad es eliminar la configuración de suspensión de un Mac y mantenerlo despierto todo el tiempo.