Уязвимость в EFI MacBook позволяет злоумышленникам загружать ROM с вредоносным ПО через порты Thunderbolt

Table Of Contents

• Уязвимость в EFI MacBook позволяет злоумышленникам загружать ROM с вредоносным ПО через порты Thunderbolt
• Атака «Злая горничная»
• Устойчивость

Уязвимость в EFI MacBook позволяет злоумышленникам загружать ROM с вредоносным ПО через порты Thunderbolt

Траммелл Хадсон собирается представить свои исследования на 31-м Конгрессе по коммуникациям хаоса (31C3) в Гамбурге на следующей неделе, где он продемонстрирует, как заразить прошивку Apple EFI (расширяемый интерфейс прошивки) с помощью внешне доступных портов Thunderbolt. Уязвимость MacBook — это лазейка, которая, вероятно, была упущена инженерами Apple и может позволить потенциальному злоумышленнику получить полный контроль над устройством.

Атака «Злая горничная»

Атака представляет собой «злую горничную», заменяющую загрузочный код на компьютере. Его исследование включает заражение прошивки Apple EFI (расширяемый интерфейс прошивки) с помощью внешне доступных портов Thunderbolt. ROM EFI должны быть криптографически подписаны, но Хадсон утверждает, что опции ROM Thunderbolt могут быть использованы для обхода проверок подписи в процедурах обновления прошивки EFI Apple. Ни аппаратное, ни программное обеспечение MacBook не выполняют криптографические проверки ROM при загрузке, что позволяет незаконно получить доступ к машине. Хадсон заявляет в блоге Events,

«Наш прототип загрузочного вируса также заменяет открытый RSA-ключ Apple в ROM и предотвращает попытки программного обеспечения заменить его, если они не подписаны закрытым ключом злоумышленника. Поскольку загрузочный ROM независим от операционной системы, переустановка OS X не удалит его. Он также не зависит от чего-либо, хранящегося на диске, поэтому замена жесткого диска не имеет никакого эффекта. Устройство программирования в системе — единственный способ восстановить стандартную прошивку.»

Проще говоря, злоумышленник может заменить ROM машины на свой собственный. Устройства Apple обычно проходят проверку перед выполнением такой операции, которая включает криптографические подписи, но эта проверка не выполняется, если изменение производится через порт Thunderbolt. Ни операционная система, ни какой-либо аппаратный механизм не выполняют никаких проверок. Если злоумышленнику удается заменить ROM, он теперь имеет возможность контролировать машину прямо с момента загрузки.

Устойчивость

Хадсон создал прототип загрузочного вируса, который также заменяет криптографические ключи Apple в ROM и предотвращает любые попытки их замены, которые не подписаны закрытым ключом злоумышленника.

Таким образом, установленный ROM даже способен скрывать себя от обнаружения другими приложениями, оставляя любые механизмы безопасности на машине бесполезными. Код также имеет возможность выживать после полной переустановки ОС, что делает его почти невозможным для удаления любым обычным пользователем. Код можно удалить только с помощью аппаратного устройства в системе.

«Кроме того, другие устройства Thunderbolt могут записывать свои опции ROM из кода, который выполняется во время ранней загрузки, и загрузочный вирус может записывать копии себя на новые устройства Thunderbolt», — сказал он. «Устройства остаются функциональными, что позволяет скрытному загрузочному вирусу распространяться через периметры безопасности с воздушным зазором через общие устройства Thunderbolt.»

Apple не прокомментировала эту историю. Мы обновим эту статью, когда они это сделают.