Открыта новая возможность внедрить вредоносный код в EFI на компьютерах Apple Mac

Давайте немного поговорим о безопасности компьютеров Mac с операционной системой OSX. Педро Вилака, один из исследователей OSX (его пост), на которого ссылается Ars Technica, заявил об обнаружении им крайне неприятной уязвимости в OSX — пока, к счастью, теоретической. 
 
Речь идет о возможность вставить вредоносный буткит прямо в EFI (аналог BIOS у Apple и современных компьютеров вообще). Буткит дает возможность выполнить вредоносный код при старте системы, еще до запуска основных модулей ОС, защитных механизмов и пр. Соответственно, он может обходить пароли на доступ к системным компонентам, механизмы проверки кода и пр. Ну и крайне неприятная особенность — он остается в рабочем состоянии даже при переустановке системы с очисткой жесткого диска. 
 
В прошлом году уже демонстрировали уязвимость Thunderstrike с тем же результатом — установкой буткита. Правда, та уязвимость работала по-другому: нужно было при загрузке компьютера воткнуть в него устройство  Thunderbolt, с которого подгружался модуль Option ROM, при старте выполняемый системой, ну и этот модуль уже мог при загрузке подгрузить свой код в EFI. Но тот вариант требовал физического доступа к компьютеру, а новая уязвимость позволяет сделать все удаленно. 
 
Проблема заключается в том, что у OSX есть система защиты данных в EFI, которая не дает перезаписать данные из системных областей EF I, но… она отключается после ухода в сон. Т.е. после перезагрузки компьютера защита включена, если он уходит в сон и выходит из него — выключена. Это дает возможность перезаписать те области EFI, которые давать переписывать нельзя. 
 
Впрочем, пока волноваться рано, т.к. для работы этому эксплоиту нужны еще и root-права на машине. Точнее — нужен рут, запуск флэш-прошивальщика (впрочем, такое ПО для OSX есть вполне легальное, причем directhw.kext внесен в исключения и не требует подтверждения запуска). С другой стороны, баги, позволяющие получать более высокий уровень прав доступа (т.е. priviliges escalation), хоть и редко, но удается найти. Заставить компьютер уснуть и проснуться — тоже не сложно, это можно сделать и штатными средствами. 
 
Пока непонятно, отреагировала ли Apple на уязвимость, т.к. вроде бы в новых моделях (с середины 2014 года) ее нет, но все предыдущие поколения уязвимы. 
 
Волноваться на эту тему пока, наверное, не стоит. Во-первых, как справедливо отмечает автор, сейчас на Mac срабатывают в разы более простые уловки (даже попросить рут-права у пользователя — и то иногда прокатывает). Во-вторых, вряд ли эта уязвимость пойдет «в серию», т.е. станет базой для массовых вирусов. 
 
С другой стороны, чем черт не шутит — могут и массовый вирус с чем-то похожим сделать. Это даже если не брать таргетированные атаки, где заинтересованность и уровень квалификации куда выше. Но самое главное, что обнаружение аж нескольких критических уязвимостей, позволяющих записывать свой код в EFI — а это самая критичная система, которую защищать нужно прежде всего — невольно наводит на мысли, что если уж в этой области у Apple бардак, то там вполне могут остаться пока неоткрытые возможности внедрить в систему вредоносный буткит, и обнаружат их не легальные исследователи, а нелегальные — и что тогда?
+1 0 2920 8
Автор Insider Рейтинг +0.27 Сила 1.77
Блог Информационная безопасность 61 19 RSS

8 комментариев

MrTO
не понял как это можно сделать вирусом т.к.дыра на перезагрузку завязана, а перезагрузки не каждый год бывают

но вообще это позорный косяк
риторический вопрос это насколько быстро apple его заделает :)))
Insider
во-первых, на уход в сон. Во-вторых, у тебя висит процесс, и как только прошел цикл «уснул-проснулся», он заработал. Все вроде просто. Другое дело, что сам пост довольно мутный. 

У них, судя по всему, вообще реализация безопасности дырявая. Они расслабились от отсутствия интереса.  
nbinc
Ну вроде Apple в моделях выпускаемых с середины 2014 года это пофиксили, в статье как бы это написали, но мы ждем когда выпустят заплатку для более старых компов
Insider
А это может быть не заплатка, а просто случайно так получилось. А вообще — дело ясное, что дело темное ©.
Daniel Jegiazarjan
Новость ни о чем? Лишь бы пнуть яблоко?
Insider
Новость о том, что при определенных условиях в мак можно записать буткит. На мой взгляд, это важно.

Добавить комментарий