Новая уязвимость позволяет переписывать прошивку и создавать постоянную заднюю дверь на почти всех ПК с Mac OS X

Новая уязвимость Apple Mac OSX Zero-Day позволяет хакерам устанавливать вредоносное ПО RootKit, перепрошивая BIOS

Исследователь безопасности OS X обнаружил новый способ переписывания прошивки и получения контроля над почти всеми Mac, которым более года.

Атака, о которой Вилака сообщил в своем блоге, затрагивает Mac, выпущенные до середины 2014 года, которые могут переходить в спящий режим.

Вилака написал скрипт для перепрошивки BIOS Mac с использованием функциональности, содержащейся в userland. Userland — это часть загрузки Mac OS, где выполняются все приложения и драйверы. Скрипт Вилаки работает, используя уязвимости, такие как те, которые регулярно встречаются в Safari и других веб-браузерах.

Ars Technica сообщает, что эксплойт Вилаки более серьезен, чем Thunderstrike, доказательство концепции, обнаруженное в декабре 2014 года. Как и уязвимость Thunderstrike, эксплойт Вилаки также дает хакерам такой же уровень контроля над Mac, но в отличие от Thunderstrike, который должен быть физически установлен на Mac, этот эксплойт может быть выполнен удаленно, и хакеры могут удаленно получить контроль над целевым Mac.

“BIOS не должен обновляться из userland, и у него есть определенные защиты, которые пытаются смягчить это,” написал Вилака в электронном письме Ars. “Если BIOS можно записывать из userland, то в BIOS можно установить rootkit. BIOS rootkits более мощные, чем обычные rootkits, потому что они работают на более низком уровне и могут пережить любое переустановку системы и обновления BIOS.”

Эксплойт Вилаки нацелен на защиту BIOS Mac, известную как FLOCKDN. Обычно FLOCKDN позволяет приложениям userland только чтение в область BIOS, однако Вилака обнаружил, что защита FLOCDN каким-то образом деактивируется после того, как Mac просыпается из спящего режима.

Эта ошибка или пробел в обработке используется эксплойтом для переписывания BIOS через процесс, обычно известный как перепрошивка. После перепрошивки BIOS потенциальные хакеры могут модифицировать расширяемый интерфейс прошивки (EFI) Mac, прошивку, отвечающую за запуск режима управления системой Mac и включение других функций низкого уровня перед загрузкой ОС.

“Флеширование разблокировано, и теперь вы можете использовать flashrom для обновления его содержимого из userland, включая бинарные файлы EFI. Это означает rootkit, подобный Thunderstrike, строго из userland,” говорит Вилака в блоге.

Вилака говорит, что эксплойт, внедренный на взломанном или вредоносном веб-сайте, может быть использован для запуска атаки на BIOS.

“Эта ошибка может быть использована с Safari или другим удаленным вектором для установки EFI rootkit без физического доступа,” написал Вилака. “Единственное требование — это то, что в текущей сессии произошел переход в спящий режим. Я не исследовал, но вы, вероятно, могли бы заставить перейти в спящий режим и запустить это, все удаленно. Это довольно эпично ;-).”

Вилака говорит, что потенциальный хакер мог бы просто добавить код, чтобы отправить целевой Mac и выполнить эксплойт в следующий раз, когда Mac проснется из сна.

“Эксплойт мог бы либо проверить, переходил ли компьютер ранее в спящий режим и подвержен ли он атаке, он мог бы дождаться, пока компьютер перейдет в спящий режим, или он может заставить сам перейти в спящий режим и ждать вмешательства пользователя для возобновления сессии,” сказал Вилака Ars. “Я не уверен, что большинство пользователей заподозрят что-то неладное, если их компьютер просто переходит в спящий режим. Это все равно что стандартная настройка на OS X.”

Вилака подтвердил, что его атака работает против MacBook Pro Retina, MacBook Pro 8.2 и MacBook Air, все из которых работали на последней доступной прошивке EFI от Apple. Mac, выпущенные после середины 2014 года, защищены от такого рода атак. Вилака не уверен в причине, но говорит, что, возможно, Apple тихо исправила уязвимость или она была случайно исправлена в результате какого-то другого обновления.

Apple еще не прокомментировала уязвимость. Единственный способ уменьшить эту уязвимость — удалить настройки сна Mac и держать его всегда включенным.