Firmware śpiących Maków szeroko otwarte na zdalnie instalowane bootkity

Z bezpieczeństwem Maków bywa różnie; w teorii uważa się, żesą bezpieczniejsze od pecetów z Windows, ale z kolei politykabezpieczeństwa Apple niejednokrotnie okazywała się gorsza niżMicrosoftu. Odkryta przez Pedro Vilaca luka w zabezpieczeniachwszystkich Maków wyprodukowanych przed połową 2014 roku stanowijednak zagrożenie, przed którym niełatwo się będzie ustrzec –i otwiera drogę do zdalnych ataków, za pomocą których przejąćmożna kontrolę nad firmware komputera.

Przedstawiony w zeszłym roku exploit wykorzystujący lukęw interfejsie Thunderbolt wzbudził duże zainteresowaniespecjalistów od bezpieczeństwa, dawał bowiem możliwośćprzejęcia niskopoziomowej kontroli nad Makiem ofiary. Wymagałjednak fizycznego dostępu do maszyny, przez co zakres jegostosowalności był poważnie ograniczony. Apple usunęłowykorzystywaną przez exploita lukę w poprawkowymwydaniu Yosemite, tym razem sytuacja jest jednak gorsza. Odkrytąprzez Vilaca lukę wyexploitować można bowiem zdalnie, przepisującfirmware Maka za pomocą mechanizmów tkwiących w userlandzie(obszarze aplikacji użytkownika i sterowników) OS X. Uzyskujemy wten sposób złośliwe oprogramowanie, które jest w stanie przetrwaćformatowanie i reinstalację systemu operacyjnego.

Aktualizacja firmware z poziomu userlandu to niezbyt dobry pomysłi system posiada zabepieczenia przez takimi operacjami. MechanizmFLOCKDN pozwala aplikacjom użytkownika na dostęp do BIOS-u Makajedynie w trybie tylko do odczytu. Okazało się jednak, że zjakiegoś niezrozumiałego dla odkrywcy luki powodu mechanizm tenjest wyłączany w momencie, gdy Mak budzi się z trybu uśpienia.Wtedy to oprogramowanie działające z uprawnieniami roota zyskujemożliwość flashowania binarek EFI.

Aby wykorzystać tę lukę, potrzeba oczywiście jeszczedysponować atakiem pozwalającym na eskalację uprawnień, ale niejest tak, że ataki tego typu na Maku są nieznane – w zeszłymroku głośno było np. o rootpipe,dzięki któremu można było użyć komendy sudo bez podania hasłaużytkownika. Ten i inne podobne błędy mogą zostać wykorzystaneprzez złośliwe skrypty, umieszczone na stronach internetowychodwiedzonych przez użytkownika w Safari. Jak pisze o tym Vilac,jedynym wymogiem jest to, by w aktualnej sesji doszło do uśpieniai wybudzenia komputera.

Równie niezrozumiałe jest to,dlaczego wszystkie Maki wyprodukowane w drugiej połowie 2014 roku ipóźniej są pozbawione tego błędu. Czyżby Apple po cichu usunęłolukę, zapominając zrobić to w starszych maszynach? Użytkownicyniewiele mogą tu zrobić, by się zabezpieczyć. Albo zrezygnują wogóle z usypiania systemu, albo skorzystają z narzędzia rwmemautorstwa badacza, który odkrył lukę w Thunderbirdzie, by za jegopomocą stworzyć binarną kopię firmware – a potem co pewien czasporównywać z nowo robionymi obrazami. Nie jest to jednak coś, comożna polecić typowemu użytkownikowi Maka, który nigdy wcześniejw życiu nie widział powłoki bash.

Apple nie poinformowało, kiedynaprawi zgłoszoną przez Vilaca lukę. Więcej informacjiznajdziecie na bloguReverse Engineering Mac OS X.