Nuovo hack consente di riscrivere il firmware e creare una backdoor permanente in quasi tutti i PC Mac OS X

Nuovo bug zero-day di Apple Mac OSX consente agli hacker di installare malware RootKit riprogrammando il BIOS

Un ricercatore di sicurezza di OS X ha scoperto un nuovo modo per sovrascrivere il firmware e prendere il controllo di quasi tutti i Mac che hanno più di un anno.

L’attacco, che Vilaca ha pubblicato sul suo blog, colpisce i Mac spediti prima della metà del 2014 che possono andare in modalità sleep.

Vilaca ha scritto uno script per ripristinare il BIOS di un Mac utilizzando funzionalità contenute nel userland. Userland è una parte di avvio di Mac OS dove vengono eseguite tutte le applicazioni e i driver. Lo script di Vilaca funziona sfruttando vulnerabilità come quelle regolarmente trovate in Safari e altri browser web.

Ars Technica afferma che l’exploit di Vilaca è più serio dell’exploit Thunderstrike proof-of-concept scoperto a dicembre 2014. Come la vulnerabilità Thunderstrike, l’exploit di Vilaca consente anche agli hacker di avere lo stesso livello di controllo di un Mac, ma a differenza di Thunderstrike, che deve essere installato fisicamente su un Mac, questo exploit può essere eseguito da remoto e gli hacker possono ottenere il controllo remoto del Mac target.

“Il BIOS non dovrebbe essere aggiornato dal userland e ha determinate protezioni che cercano di mitigare questo,” ha scritto Vilaca in un’e-mail ad Ars. “Se il BIOS è scrivibile dal userland, allora un rootkit può essere installato nel BIOS. I rootkit del BIOS sono più potenti dei normali rootkit perché funzionano a un livello inferiore e possono sopravvivere a qualsiasi reinstallazione della macchina e anche agli aggiornamenti del BIOS.”

L’exploit di Vilaca prende di mira la protezione del BIOS Mac nota come FLOCKDN. Normalmente, FLOCKDN consente alle app del userland di avere accesso in sola lettura alla regione del BIOS, tuttavia Vilaca ha scoperto che la protezione FLOCDN è in qualche modo disattivata dopo che il Mac si sveglia dalla modalità sleep.

Questo bug o lacuna nel processo viene utilizzato dall’exploit per riscrivere il BIOS attraverso un processo tipicamente noto come ripristino. Una volta che il BIOS è stato ripristinato, i potenziali hacker possono modificare l’interfaccia firmware estensibile (EFI) del Mac, il firmware responsabile dell’avvio della modalità di gestione del sistema di un Mac e dell’abilitazione di altre funzioni a basso livello prima di caricare il sistema operativo.

“Il flash è sbloccato e ora puoi usare flashrom per aggiornare i suoi contenuti dal userland, inclusi i binari EFI. Significa un rootkit simile a Thunderstrike strettamente dal userland,” afferma Vilaca nel post del blog.

Vilaca afferma che un exploit drive-by piantato su un sito web compromesso o malevolo potrebbe essere utilizzato per attivare l’attacco al BIOS.

“Il bug può essere utilizzato con Safari o un altro vettore remoto per installare un rootkit EFI senza accesso fisico,” ha scritto Vilaca. “L’unico requisito è che ci sia stata una sospensione nella sessione corrente. Non ho ricercato, ma probabilmente potresti forzare la sospensione e attivare questo, tutto da remoto. È un possesso piuttosto epico ;-).”

Vilaca afferma che un potenziale hacker potrebbe semplicemente aggiungere un codice per inviare un Mac target ed eseguire l’exploit la prossima volta che il Mac si sveglia dal sonno.

“Un exploit potrebbe verificare se il computer è già andato precedentemente in modalità sleep e se è sfruttabile, potrebbe aspettare fino a quando il computer va a dormire, oppure può forzare il sonno stesso e aspettare l’intervento dell’utente per riprendere la sessione,” ha detto Vilaca ad Ars. “Non sono sicuro che la maggior parte degli utenti sospetterebbe che ci sia qualcosa di strano se il loro computer va semplicemente a dormire. Quella è comunque l’impostazione predefinita su OS X.”

Vilaca ha confermato che il suo attacco funziona contro un MacBook Pro Retina, un MacBook Pro 8.2 e un MacBook Air, tutti i quali eseguivano l’ultimo firmware EFI disponibile da Apple. I Mac rilasciati dopo la metà del 2014 sono immuni a questo tipo di attacco. Vilaca non è sicuro del motivo, ma afferma che forse Apple ha silenziosamente corretto la vulnerabilità o è stata risolta accidentalmente attraverso qualche altro aggiornamento.

Apple non ha ancora commentato la vulnerabilità. L’unico modo per mitigare questa vulnerabilità è rimuovere le impostazioni di sonno di un Mac e mantenerlo sempre attivo.