新しいハックによりファームウェアが書き換えられ、ほぼすべてのMac OS X実行PCに恒久的なバックドアが作成される

新しいApple Mac OSXゼロデイバグにより、ハッカーがBIOSを再フラッシュすることでRootKitマルウェアをインストールできるようになる

OS Xのセキュリティ研究者が、ファームウェアを上書きし、1年以上前のほぼすべてのMacを制御する新しい方法を発見しました。

この攻撃は、Vilacaが彼のブログに投稿したもので、2014年の中頃以前に出荷された、スリープモードに入ることが許可されているMacに影響を与えます。

Vilacaは、ユーザーランドに含まれる機能を使用してMacのBIOSを再フラッシュするスクリプトを書きました。ユーザーランドは、すべてのアプリケーションとドライバーが実行されるMac OSの起動部分です。Vilacaのスクリプトは、Safariや他のWebブラウザで定期的に見つかる脆弱性を悪用することで機能します。

Ars Technicaは、Vilacaのエクスプロイトが2014年12月に発見されたThunderstrikeの概念実証エクスプロイトよりも深刻であると述べています。Thunderstrikeの脆弱性と同様に、VilacaのエクスプロイトもハッカーにMacの同じレベルの制御を与えますが、ThunderstrikeはMacに物理的にインストールする必要があるのに対し、このエクスプロイトはリモートで実行でき、ハッカーはターゲットのMacをリモートで制御できます。

「BIOSはユーザーランドから更新されるべきではなく、それに対して特定の保護があり、これを軽減しようとします」とVilacaはArsへのメールで書いています。「BIOSがユーザーランドから書き込み可能であれば、ルートキットがBIOSにインストールされる可能性があります。BIOSルートキットは、通常のルートキットよりも強力です。なぜなら、より低いレベルで機能し、マシンの再インストールやBIOSの更新を生き延びることができるからです。」

Vilacaのエクスプロイトは、FLOCKDNとして知られるMacのBIOS保護をターゲットにしています。通常、FLOCKDNはユーザーランドアプリにBIOS領域への読み取り専用アクセスを許可しますが、VilacaはMacがスリープモードから復帰した後にFLOCKDN保護が何らかの形で無効化されることを発見しました。

このバグまたは処理のギャップは、エクスプロイトによってBIOSを書き換えるために使用され、通常は再フラッシュとして知られるプロセスを通じて行われます。一度BIOSが再フラッシュされると、潜在的なハッカーはMacの拡張可能なファームウェアインターフェース（EFI）を変更でき、これはMacのシステム管理モードを起動し、OSをロードする前に他の低レベルの機能を有効にするファームウェアです。

「フラッシュが解除され、今やflashromを使用してユーザーランドからその内容を更新できます。EFIバイナリを含めて。これは、ユーザーランドから厳密にThunderstrikeのようなルートキットを意味します」とVilacaはブログ投稿で述べています。

Vilacaは、ハッキングされたまたは悪意のあるウェブサイトに植え付けられたドライブバイエクスプロイトがBIOS攻撃を引き起こすために使用される可能性があると述べています。

「このバグは、Safariや他のリモートベクターを使用して物理的なアクセスなしにEFIルートキットをインストールするために使用できます」とVilacaは書いています。「唯一の要件は、現在のセッションでサスペンドが発生したことです。私は研究していませんが、おそらくサスペンドを強制し、これをリモートでトリガーできるでしょう。それはかなり壮大な所有です ;-).」

Vilacaは、潜在的なハッカーがターゲットのMacを送信するコードを追加し、次回Macがスリープから復帰する際にエクスプロイトを実行できると述べています。

「エクスプロイトは、コンピュータが以前にスリープモードに入ったかどうかを確認し、それがエクスプロイト可能であるか、コンピュータがスリープに入るのを待つか、またはスリープ自体を強制し、ユーザーの介入を待ってセッションを再開することができます」とVilacaはArsに語りました。「ほとんどのユーザーは、コンピュータがスリープに入った場合、何か不審なことが起こっているとは疑わないでしょう。それはOS Xのデフォルト設定です。」

Vilacaは、彼の攻撃がMacBook Pro Retina、MacBook Pro 8.2、およびMacBook Airに対して機能することを確認しました。これらはすべてAppleの最新のEFIファームウェアを実行していました。2014年中頃以降にリリースされたMacは、この種の攻撃に対して免疫があります。Vilacaは理由を確信していませんが、Appleが静かに脆弱性をパッチしたか、他の更新を通じて偶然修正された可能性があると述べています。

Appleはこの脆弱性についてまだコメントしていません。この脆弱性を軽減する唯一の方法は、Macのスリープ設定を削除し、常に起きている状態を保つことです。