새로운 해킹으로 거의 모든 Mac OS X 실행 PC에서 펌웨어를 다시 쓰고 영구 백도어를 생성할 수 있게 됨

새로운 Apple Mac OSX 제로데이 버그는 해커가 BIOS를 다시 플래싱하여 루트킷 맬웨어를 설치할 수 있게 함

OS X 보안 연구원이 1년 이상 된 거의 모든 Mac의 펌웨어를 덮어쓰고 제어할 수 있는 새로운 방법을 발견했습니다.

Vilaca가 자신의 블로그에 게시한 공격은 2014년 중반 이전에 출하된 Mac에 영향을 미치며, 이들은 절전 모드로 들어갈 수 있습니다.

Vilaca는 사용자 공간에 포함된 기능을 사용하여 Mac의 BIOS를 다시 플래싱하는 스크립트를 작성했습니다. 사용자 공간은 모든 애플리케이션과 드라이버가 실행되는 Mac OS의 부팅 부분입니다. Vilaca의 스크립트는 Safari 및 기타 웹 브라우저에서 정기적으로 발견되는 취약점과 같은 취약점을 악용하여 작동합니다.

Ars Technica는 Vilaca의 익스플로잇이 2014년 12월에 발견된 Thunderstrike 개념 증명 익스플로잇보다 더 심각하다고 말합니다. Thunderstrike 취약점과 마찬가지로 Vilaca의 익스플로잇은 해커에게 Mac에 대한 동일한 수준의 제어를 제공하지만, Thunderstrike는 Mac에 물리적으로 설치해야 하는 반면, 이 익스플로잇은 원격으로 실행될 수 있으며 해커는 원격으로 대상 Mac을 제어할 수 있습니다.

“BIOS는 사용자 공간에서 업데이트되어서는 안 되며, 이를 완화하기 위한 특정 보호 기능이 있습니다.”라고 Vilaca는 Ars에 보낸 이메일에서 썼습니다. “BIOS가 사용자 공간에서 쓰기 가능하다면 루트킷이 BIOS에 설치될 수 있습니다. BIOS 루트킷은 일반 루트킷보다 더 강력합니다. 왜냐하면 더 낮은 수준에서 작동하고 모든 기계 재설치 및 BIOS 업데이트를 생존할 수 있기 때문입니다.”

Vilaca의 익스플로잇은 FLOCKDN으로 알려진 Mac BIOS 보호를 목표로 합니다. 일반적으로 FLOCKDN은 사용자 공간 애플리케이션에 BIOS 영역에 대한 읽기 전용 액세스를 허용하지만, Vilaca는 Mac이 절전 모드에서 깨어난 후 FLOCKDN 보호가 어떤 식으로든 비활성화된다는 것을 발견했습니다.

이 버그 또는 처리의 간극은 익스플로잇이 BIOS를 다시 플래싱하는 데 사용됩니다. BIOS가 다시 플래싱되면 잠재적인 해커는 Mac의 확장 가능한 펌웨어 인터페이스(EFI)를 수정할 수 있으며, 이는 Mac의 시스템 관리 모드를 시작하고 OS를 로드하기 전에 다른 저수준 기능을 활성화하는 데 책임이 있습니다.

“플래시는 잠금 해제되었고 이제 사용자 공간에서 EFI 바이너리를 포함하여 내용을 업데이트하기 위해 flashrom을 사용할 수 있습니다. 이는 사용자 공간에서 엄격하게 Thunderstrike와 같은 루트킷을 의미합니다.”라고 Vilaca는 블로그 게시물에서 말합니다.

Vilaca는 해킹되거나 악의적인 웹사이트에 심어진 드라이브 바이 익스플로잇이 BIOS 공격을 유발하는 데 사용될 수 있다고 말합니다.

“이 버그는 Safari 또는 기타 원격 벡터와 함께 사용되어 물리적 접근 없이 EFI 루트킷을 설치하는 데 사용될 수 있습니다.”라고 Vilaca는 썼습니다. “유일한 요구 사항은 현재 세션에서 일시 중지가 발생하는 것입니다. 나는 연구하지 않았지만 아마도 일시 중지를 강제로 발생시키고 이를 원격으로 트리거할 수 있을 것입니다. 그건 정말 대단한 소유입니다 ;-).”

Vilaca는 잠재적인 해커가 코드를 추가하여 대상 Mac을 보내고 Mac이 절전에서 깨어날 때 익스플로잇을 실행할 수 있다고 말합니다.

“익스플로잇은 컴퓨터가 이전에 절전 모드로 들어갔는지 확인하고 이를 악용할 수 있으며, 컴퓨터가 절전 모드로 들어갈 때까지 기다리거나 스스로 절전 모드를 강제로 발생시키고 사용자의 개입을 기다릴 수 있습니다.”라고 Vilaca는 Ars에 말했습니다. “대부분의 사용자가 컴퓨터가 단순히 절전 모드로 들어간다면 의심하지 않을 것이라고 확신합니다. 어쨌든 그것은 OS X의 기본 설정입니다.”

Vilaca는 자신의 공격이 MacBook Pro Retina, MacBook Pro 8.2 및 MacBook Air에서 작동한다고 확인했습니다. 이 모든 기기는 Apple의 최신 EFI 펌웨어를 실행했습니다. 2014년 중반 이후에 출시된 Mac은 이러한 종류의 공격에 면역입니다. Vilaca는 그 이유를 확신하지 못하지만 Apple이 취약점을 조용히 패치했거나 다른 업데이트를 통해 우연히 수정되었을 수 있다고 말합니다.

Apple은 아직 이 취약점에 대해 언급하지 않았습니다. 이 취약점을 완화하는 유일한 방법은 Mac의 절전 설정을 제거하고 항상 깨어 있게 하는 것입니다.