Une nouvelle faille permet de réécrire le firmware et de créer une porte dérobée permanente dans presque tous les PC exécutant Mac OS X

Un nouveau bug Zero-Day d’Apple Mac OSX permet aux hackers d’installer un malware RootKit en réécrivant le BIOS

Un chercheur en sécurité OS X a découvert un nouveau moyen de réécrire le firmware et de prendre le contrôle de presque tous les Macs âgés de plus d’un an.

L’attaque, que Vilaca a publiée sur son blog, affecte les Macs expédiés avant le milieu de 2014 qui sont autorisés à entrer en mode veille.

Vilaca a écrit un script pour réécrire le BIOS d’un Mac en utilisant une fonctionnalité contenue dans l’espace utilisateur. L’espace utilisateur est une partie de démarrage de Mac OS où toutes les applications et pilotes sont exécutés. Le script de Vilaca fonctionne en exploitant des vulnérabilités telles que celles régulièrement trouvées dans Safari et d’autres navigateurs Web.

Ars Technica indique que l’exploitation de Vilaca est plus grave que l’exploitation Thunderstrike de preuve de concept qui a été découverte en décembre 2014. Comme la vulnérabilité Thunderstrike, l’exploitation de Vilaca donne également aux hackers le même niveau de contrôle d’un Mac, mais contrairement à Thunderstrike qui doit être physiquement installé sur un Mac, cette exploitation peut être exécutée à distance et les hackers peuvent prendre le contrôle du Mac ciblé à distance.

“Le BIOS ne devrait pas être mis à jour depuis l’espace utilisateur et il a certaines protections qui tentent de mitiger cela,” a écrit Vilaca dans un e-mail à Ars. “Si le BIOS est réinscriptible depuis l’espace utilisateur, alors un rootkit peut être installé dans le BIOS. Les rootkits BIOS sont plus puissants que les rootkits normaux car ils fonctionnent à un niveau inférieur et peuvent survivre à toute réinstallation de machine et également aux mises à jour du BIOS.”

L’exploitation de Vilaca cible la protection du BIOS Mac connue sous le nom de FLOCKDN. Normalement, FLOCKDN permet aux applications de l’espace utilisateur un accès en lecture seule à la région du BIOS, cependant, Vilaca a découvert que la protection FLOCDN est désactivée d’une manière ou d’une autre après que le Mac se réveille d’un mode veille.

Ce bug ou cette lacune dans le traitement est utilisée par l’exploitation pour réécrire le BIOS par un processus généralement connu sous le nom de réécriture. Une fois le BIOS réécrit, les hackers potentiels peuvent modifier l’interface de firmware extensible (EFI) du Mac, le firmware responsable du démarrage du mode de gestion du système d’un Mac et de l’activation d’autres fonctions de bas niveau avant de charger le système d’exploitation.

“Le flash est déverrouillé et maintenant vous pouvez utiliser flashrom pour mettre à jour son contenu depuis l’espace utilisateur, y compris les binaires EFI. Cela signifie un rootkit semblable à Thunderstrike strictement depuis l’espace utilisateur,” dit Vilaca dans le billet de blog.

Vilaca dit qu’une exploitation par drive-by plantée sur un site Web piraté ou malveillant pourrait être utilisée pour déclencher l’attaque du BIOS.

“Le bug peut être utilisé avec Safari ou un autre vecteur à distance pour installer un rootkit EFI sans accès physique,” a écrit Vilaca. “La seule exigence est qu’une suspension se soit produite dans la session actuelle. Je n’ai pas fait de recherches, mais vous pourriez probablement forcer la suspension et déclencher cela, tout à distance. C’est plutôt épique comme prise de contrôle ;-).”

Vilaca dit qu’un hacker potentiel pourrait simplement ajouter un code pour envoyer un Mac ciblé et exécuter l’exploitation la prochaine fois que le Mac se réveille de son sommeil.

“Une exploitation pourrait soit vérifier si l’ordinateur est déjà allé précédemment en mode veille et s’il est exploitable, elle pourrait attendre que l’ordinateur aille dormir, ou elle peut forcer le sommeil elle-même et attendre l’intervention de l’utilisateur pour reprendre la session,” a déclaré Vilaca à Ars. “Je ne suis pas sûr que la plupart des utilisateurs soupçonnent quoi que ce soit de louche si leur ordinateur se met simplement en veille. C’est de toute façon le paramètre par défaut sur OS X.”

Vilaca a confirmé que son attaque fonctionne contre un MacBook Pro Retina, un MacBook Pro 8.2 et un MacBook Air, tous ayant exécuté le dernier firmware EFI disponible d’Apple. Les Macs sortis après la mi-2014 sont immunisés contre ce type d’attaque. Vilaca n’est pas sûr de la raison, mais dit que peut-être Apple a silencieusement corrigé la vulnérabilité ou qu’elle a été corrigée accidentellement par une autre mise à jour.

Apple n’a pas encore commenté la vulnérabilité. Le seul moyen de mitiger cette vulnérabilité est de supprimer les paramètres de veille d’un Mac et de le garder éveillé tout le temps.