r   e   k   l   a   m   a
r   e   k   l   a   m   a

Maki są dziś niebezpieczne. Exploity 0-day w akcji, nieusuwalne ataki na firmware – a Apple jakby nigdy nic

Strona główna AktualnościOPROGRAMOWANIE

Apple potrzebuje naprawdę porządnego audytu kodu swojego systemu operacyjnego dla Maków. W 2015 roku luki w OS X pojawiają się jedna za drugą, wykorzystywane są często nawet trywialne błędy programistów z Cupertino. Teraz firma Malwarebytes informuje o realnym wykorzystaniu opisywanej przez nas wcześniej luki 0-day, za pomocą której można uzyskać uprawnienia administratora bez hasła. Apple sprawy na czas nie rozwiązało, więc cyberprzestępcy wzięli sprawy w swoje ręce.

Przypomnijmy co się stało: programiści nie zastosowali żadnych zabezpieczeń w dynamicznym linkerze dyld, pozwalając za jego pomocą na otwieranie, tworzenie i zapisywanie plików z uprawnieniami roota, które mogą znaleźć się w dowolnym miejscu systemu plików OS X 10.10 Yosemite. Błąd ten najwyraźniej był znany Apple już wcześniej – został poprawiony w testowanym obecnie jako beta OS X 10.11 El Capitan. Wersja stabilna systemu, z której korzysta zdecydowana większość użytkowników komputerów z Jabłuszkiem, poprawek nie dostała. Efekt był łatwy do przewidzenia.

W Sieci znaleźć już można nowy, złośliwy instalator, który instaluje na Makach rozmaite śmieciowe oprogramowanie, wykorzystując w tym celu wspomnianą lukę. Użytkownik niczego nie widzi – instalator zdobywa uprawnienia roota automatycznie, bez pytania o hasło, instaluje co miał zainstalować, a następnie usuwa się z systemu.

r   e   k   l   a   m   a

Jak do tej pory jedynym zabezpieczeniem dla użytkowników systemu OS X jest zainstalowanie nieoficjalnej łatki SUIDGuard autorstwa Stefana Essera, odkrywcy wspomnianej luki. Liczyć w tej kwestii na Apple raczej nie ma co, firma z Cupertino ma w zwyczaju uważać nowe wydania systemów operacyjnych za łatki bezpieczeństwa dla starszych.

To jednak nie koniec problemów dla użytkowników Maków. Wired opisał wczoraj zaawansowany technicznie atak na na firmware komputerów Apple'a, który otrzymał nazwę Thunderstrike 2. Jest to połączenie robaka i rootkitu, który przez lukę w sterownikach gniazda Thunderbolt nadpisuje firmware UEFI komputerów, dzięki czemu jest całkowicie nietykalne dla oprogramowania antywirusowego.

Atak dla napastników mających fizyczny dostęp do Maka nie jest problemem – wystarczy że podepną złośliwą wtyczkę do gniazdka Thunderbolt. Z fizycznym dostępem nie takie jednak ataki się robiło. Niestety możliwy jest też atak zdalny. Jeśli uda się skłonić ofiarę do uruchomienia złośliwego oprogramowania (jak widać powyżej, uzyskanie roota w OS X Yosemite nie jest dziś problemem), będzie ono czekać na podpięcie dowolnego adaptera do portu Thunderbolt, a gdy to nastąpi, nadpisze firmware adaptera, tak by to adapter stał się nośnikiem zarazy. Infekcja zajmuje kilka sekund i po jej przeprowadzeniu pozwala napastnikowi na pełną kontrolę nad zarażoną maszyną.

Usunięcie infekcji jest bardzo trudne. Aktualizacja systemu operacyjnego ani firmware z poziomu normalnych narzędzi systemowych niewiele da, gdyż zainfekowane firmware może zignorować próbę aktualizacji, a użytkownikowi wyświetlić fałszywy komunikat o powodzeniu operacji. Jednym sposobem jest wykorzystanie sprzętowego programatora pamięci flash, ale już widzimy, jak typowy użytkownik MacBooka bierze się do zabawy z programatorem.

Innymi słowy sytuacja z bezpieczeństwem Maków robi się tragiczna. Portu Thunderbolt klejem raczej nikt nie zaleje, trzeba jakoś choćby ten zewnętrzny monitor podpiąć. Nie wiadomo, co kryje się w firmware tanich adapterów Ethernetu, kupowanych za kilka dolarów z Chin. Pociesza nieco to, że już niebawem pojawić się ma narzędzie analizy firmware urządzeń perferyjnych do sprzętu Apple, ale co z tego, skoro narzędzia do analizy firmware samego komputera raczej stworzyć nie sposób.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.