Groźna dziura w komputerach Apple'a
Komputery Mac wyprodukowane przed połową 2014 roku zawierają poważną dziurę pozwalającą na nadpisanie firmware'u startującego maszynę. Udany atak daje napastnikowi całkowitą kontrolę nad maszyną, od pierwszych chwil po jej uruchomieniu. Błąd dotyczy maszyn, w których włączono tryb uśpienia.
Pedro Vilaca, znany ekspert ds. bezpieczeństwa systemu OS X znalazł sposób na wgranie własnego oprogramowania do BIOS-u komputerów. Ataku można dokonać wykorzystując część systemu operacyjnego zwaną userland oraz dziurę w dowolnej przeglądarce. Zainstalowanego w ten sposób szkodliwego oprogramowania nie można usunąć ani formatując HDD ani instalując nowy system operacyjnych. Cały atak może zostać przeprowadzony zdalnie.
BIOS nie powinien być aktualizowany za pomocą userland, a Apple zastosowało pewne mechanizmy, które mają przed tym chronić. Jeśli bowiem można wykorzystać userland do aktuliazacji BIOS-u, to istnieje niebezpieczeństwo zainstalowania tam rootkita. Rootkity BIOS-u są znacznie bardziej niebezpieczne niż tradycyjne rootkity, gdyż działają na niższym poziomie oraz są w stanie przetrwać każdą reinstalację oraz kolejne aktualizacje BIOS-u - mówi Vilaca.
Opracowany przez Vilacę szkodliwy kod dokonuje ataku w momencie, gdy Mac zaczyna wychodzić z trybu uśpienia. Normalnie BIOS jest chroniony przez FLOCKDN, który daje userlandowi dostęp jedynie w trybie odczytu. Z nieznanych przyczyn po przebudzeniu komputera z trybu uśpienia FLOCKDN jest wyłączany, co pozwala na nadpisanie BIOS-u. Do przeprowadzenia takiego ataku konieczne jest wcześniej znalezienie w dziury, która daje napastnikowi dostęp na prawach administratora. Luki takie nie są łatwe do odkrycia, ale jednak się zdarzają. Taka dziura w Safari czy innym oprogramowaniu łączącym się z internetem, może posłużyć do zainstalowania rootkita BIOS-u bez fizycznego dostępu do komputera. Wymagane jest jedynie, by do wprowadzenia komputera w stan uśpienia doszło podczas tej samej sesji, podczas której wgrano kod atakujący BIOS. Niewykluczone, że możliwe jest zdalne wprowadzenie komputera w stan uśpienia i wymuszenie w ten sposób wgrania rootkita do BIOS-u - mówi Vilaca. Jako, że komputery są standardowo ustawione tak, by przechodziły w stan uśpienia, większość użytkowników zapewne nie widziałaby nic podejrzanego w tym, że ich maszyna nagle została uśpiona.
Vilaca potwierdził, że jego atak jest skuteczny przeciwko maszynom MacBook Pro Retina, MacBook Pro 8.2 oraz MacBook Air. Wydaje się, że komputery wyprodukowane po połowie 2014 roku są odporne. Nie wiadomo, czy Apple załatał dziurę celowo czy przypadkowo.
Komentarze (0)