Novo hack permite que o firmware seja reescrito e uma porta dos fundos permanente seja criada em quase todos os PCs que executam Mac OS X

Novo bug de dia zero da Apple Mac OSX permite que hackers instalem malware RootKit reprogramando o BIOS

Um pesquisador de segurança do OS X descobriu uma nova maneira de sobrescrever o firmware e assumir o controle de quase todos os Macs que têm mais de um ano.

O ataque, que Vilaca postou em seu blog, afeta Macs enviados antes da metade de 2014 que podem entrar em modo de suspensão.

Vilaca escreveu um script para reprogramar o BIOS de um Mac usando funcionalidades contidas no userland. Userland é uma parte de inicialização do Mac OS onde todos os aplicativos e drivers são executados. O script de Vilaca funciona explorando vulnerabilidades como aquelas frequentemente encontradas no Safari e em outros navegadores da Web.

Ars Technica afirma que a exploração de Vilaca é mais séria do que a exploração Thunderstrike de prova de conceito que foi descoberta em dezembro de 2014. Assim como a vulnerabilidade Thunderstrike, a exploração de Vilaca também dá aos hackers o mesmo nível de controle de um Mac, mas ao contrário do Thunderstrike, que precisa ser fisicamente instalado em um Mac, essa exploração pode ser executada remotamente e os hackers podem obter controle remoto do Mac alvo.

“O BIOS não deve ser atualizado a partir do userland e eles têm certas proteções que tentam mitigar isso,” escreveu Vilaca em um e-mail para a Ars. “Se o BIOS for gravável a partir do userland, então um rootkit pode ser instalado no BIOS. Rootkits de BIOS são mais poderosos do que rootkits normais porque funcionam em um nível mais baixo e podem sobreviver a qualquer reinstalação de máquina e também a atualizações de BIOS.”

A exploração de Vilaca visa a proteção do BIOS do Mac conhecida como FLOCKDN. Normalmente, o FLOCKDN permite que aplicativos do userland tenham acesso somente leitura à região do BIOS, no entanto, Vilaca descobriu que a proteção FLOCDN é de alguma forma desativada depois que o Mac acorda do modo de suspensão.

Esse bug ou falha no processamento é utilizado pela exploração para reescrever o BIOS através de um processo tipicamente conhecido como reprogramação. Uma vez que o BIOS é reprogramado, os hackers potenciais podem modificar a interface de firmware extensível (EFI) do Mac, o firmware responsável por iniciar o modo de gerenciamento de sistema do Mac e habilitar outras funções de baixo nível antes de carregar o sistema operacional.

“O flash está desbloqueado e agora você pode usar flashrom para atualizar seu conteúdo a partir do userland, incluindo binários EFI. Isso significa um rootkit semelhante ao Thunderstrike estritamente a partir do userland,” diz Vilaca na postagem do blog.

Vilaca afirma que uma exploração drive-by plantada em um site hackeado ou malicioso poderia ser usada para acionar o ataque ao BIOS.

“O bug pode ser usado com um Safari ou outro vetor remoto para instalar um rootkit EFI sem acesso físico,” escreveu Vilaca. “A única exigência é que uma suspensão tenha ocorrido na sessão atual. Eu não pesquisei, mas você provavelmente poderia forçar a suspensão e acionar isso, tudo remotamente. Isso é uma posse épica ;-).”

Vilaca diz que um hacker potencial poderia apenas adicionar um código para enviar um Mac alvo e executar a exploração na próxima vez que o Mac acordar do sono.

“Uma exploração poderia verificar se o computador já foi para o modo de suspensão anteriormente e se é explorável, poderia esperar até que o computador entre em suspensão, ou pode forçar a suspensão e esperar pela intervenção do usuário para retomar a sessão,” disse Vilaca à Ars. “Não tenho certeza se a maioria dos usuários suspeitaria que algo estranho está acontecendo se seu computador apenas entrar em suspensão. Essa é a configuração padrão de qualquer maneira no OS X.”

Vilaca confirmou que seu ataque funciona contra um MacBook Pro Retina, um MacBook Pro 8.2 e um MacBook Air, todos os quais executavam o firmware EFI mais recente disponível da Apple. Macs lançados após a metade de 2014 são imunes a esse tipo de ataque. Vilaca não tem certeza do motivo, mas diz que talvez a Apple tenha corrigido silenciosamente a vulnerabilidade ou ela tenha sido corrigida acidentalmente através de alguma outra atualização.

A Apple ainda não comentou sobre a vulnerabilidade. A única maneira de mitigar essa vulnerabilidade é remover as configurações de suspensão de um Mac e mantê-lo acordado o tempo todo.