Открыта новая возможность внедрить вредоносный код в EFI на компьютерах Apple Mac

Пост опубликован в блогах iXBT.com, его автор не имеет отношения к редакции iXBT.com

Давайте немного поговорим о безопасности компьютеров Mac с операционной системой OSX. Педро Вилака, один из исследователей OSX (его пост), на которого ссылается Ars Technica, заявил об обнаружении им крайне неприятной уязвимости в OSX — пока, к счастью, теоретической. 


 

Речь идет о возможность вставить вредоносный буткит прямо в EFI (аналог BIOS у Apple и современных компьютеров вообще). Буткит дает возможность выполнить вредоносный код при старте системы, еще до запуска основных модулей ОС, защитных механизмов и пр. Соответственно, он может обходить пароли на доступ к системным компонентам, механизмы проверки кода и пр. Ну и крайне неприятная особенность — он остается в рабочем состоянии даже при переустановке системы с очисткой жесткого диска. 

 

В прошлом году уже демонстрировали уязвимость Thunderstrike с тем же результатом — установкой буткита. Правда, та уязвимость работала по-другому: нужно было при загрузке компьютера воткнуть в него устройство  Thunderbolt, с которого подгружался модуль Option ROM, при старте выполняемый системой, ну и этот модуль уже мог при загрузке подгрузить свой код в EFI. Но тот вариант требовал физического доступа к компьютеру, а новая уязвимость позволяет сделать все удаленно. 

 

Проблема заключается в том, что у OSX есть система защиты данных в EFI, которая не дает перезаписать данные из системных областей EF I, но… она отключается после ухода в сон. Т.е. после перезагрузки компьютера защита включена, если он уходит в сон и выходит из него — выключена. Это дает возможность перезаписать те области EFI, которые давать переписывать нельзя. 


 

Впрочем, пока волноваться рано, т.к. для работы этому эксплоиту нужны еще и root-права на машине. Точнее — нужен рут, запуск флэш-прошивальщика (впрочем, такое ПО для OSX есть вполне легальное, причем directhw.kext внесен в исключения и не требует подтверждения запуска). С другой стороны, баги, позволяющие получать более высокий уровень прав доступа (т.е. priviliges escalation), хоть и редко, но удается найти. Заставить компьютер уснуть и проснуться — тоже не сложно, это можно сделать и штатными средствами. 

 

Пока непонятно, отреагировала ли Apple на уязвимость, т.к. вроде бы в новых моделях (с середины 2014 года) ее нет, но все предыдущие поколения уязвимы. 

 

Волноваться на эту тему пока, наверное, не стоит. Во-первых, как справедливо отмечает автор, сейчас на Mac срабатывают в разы более простые уловки (даже попросить рут-права у пользователя — и то иногда прокатывает). Во-вторых, вряд ли эта уязвимость пойдет «в серию», т.е. станет базой для массовых вирусов. 


 

С другой стороны, чем черт не шутит — могут и массовый вирус с чем-то похожим сделать. Это даже если не брать таргетированные атаки, где заинтересованность и уровень квалификации куда выше. Но самое главное, что обнаружение аж нескольких критических уязвимостей, позволяющих записывать свой код в EFI — а это самая критичная система, которую защищать нужно прежде всего — невольно наводит на мысли, что если уж в этой области у Apple бардак, то там вполне могут остаться пока неоткрытые возможности внедрить в систему вредоносный буткит, и обнаружат их не легальные исследователи, а нелегальные — и что тогда?