Maki są dziś niebezpieczne. Exploity 0-day w akcji, nieusuwalne ataki na firmware – a Apple jakby nigdy nic
Apple potrzebuje naprawdę porządnego audytu kodu swojego systemuoperacyjnego dla Maków. W 2015 roku luki w OS X pojawiają sięjedna za drugą, wykorzystywane są często nawet trywialnebłędy programistów z Cupertino. Teraz firma Malwarebytesinformujeo realnym wykorzystaniu opisywanej przez nas wcześniej luki 0-day,za pomocą której można uzyskać uprawnienia administratora bezhasła. Apple sprawy na czas nie rozwiązało, więc cyberprzestępcywzięli sprawy w swoje ręce.
Przypomnijmy co się stało: programiści nie zastosowali żadnychzabezpieczeń w dynamicznym linkerze dyld, pozwalając za jego pomocąna otwieranie, tworzenie i zapisywanie plików z uprawnieniami roota,które mogą znaleźć się w dowolnym miejscu systemu plików OS X10.10 Yosemite. Błąd ten najwyraźniej był znany Apple jużwcześniej – został poprawiony w testowanym obecnie jako beta OS X10.11 El Capitan. Wersja stabilna systemu, z której korzystazdecydowana większość użytkowników komputerów z Jabłuszkiem,poprawek nie dostała. Efekt był łatwy do przewidzenia.
W Sieci znaleźć już można nowy, złośliwy instalator, któryinstaluje na Makach rozmaite śmieciowe oprogramowanie, wykorzystującw tym celu wspomnianą lukę. Użytkownik niczego nie widzi –instalator zdobywa uprawnienia roota automatycznie, bez pytania ohasło, instaluje co miał zainstalować, a następnie usuwa się zsystemu.
Jak do tej pory jedynym zabezpieczeniem dla użytkowników systemuOS X jest zainstalowanie nieoficjalnej łatkiSUIDGuard autorstwa Stefana Essera, odkrywcy wspomnianej luki.Liczyć w tej kwestii na Apple raczej nie ma co, firma z Cupertino maw zwyczaju uważać nowe wydania systemów operacyjnych za łatkibezpieczeństwa dla starszych.
To jednak nie koniec problemów dla użytkowników Maków. Wiredopisał wczoraj zaawansowany technicznie atak na na firmwarekomputerów Apple'a, który otrzymał nazwę Thunderstrike 2. Jest topołączenie robaka i rootkitu, który przez lukę w sterownikachgniazda Thunderbolt nadpisuje firmware UEFI komputerów, dziękiczemu jest całkowicie nietykalne dla oprogramowania antywirusowego.
Atak dla napastników mających fizyczny dostęp do Maka nie jestproblemem – wystarczy że podepną złośliwą wtyczkę do gniazdkaThunderbolt. Z fizycznym dostępem nie takie jednak ataki sięrobiło. Niestety możliwy jest też atak zdalny. Jeśli uda sięskłonić ofiarę do uruchomienia złośliwego oprogramowania (jakwidać powyżej, uzyskanie roota w OS X Yosemite nie jest dziśproblemem), będzie ono czekać na podpięcie dowolnego adaptera doportu Thunderbolt, a gdy to nastąpi, nadpisze firmware adaptera, takby to adapter stał się nośnikiem zarazy. Infekcja zajmuje kilkasekund i po jej przeprowadzeniu pozwala napastnikowi na pełnąkontrolę nad zarażoną maszyną.
Thunderstrike 2 "firmworm" for MacBooks Preview Video
Usunięcie infekcji jest bardzo trudne. Aktualizacja systemuoperacyjnego ani firmware z poziomu normalnych narzędzi systemowychniewiele da, gdyż zainfekowane firmware może zignorować próbęaktualizacji, a użytkownikowi wyświetlić fałszywy komunikat opowodzeniu operacji. Jednym sposobem jest wykorzystanie sprzętowegoprogramatora pamięci flash, ale już widzimy, jak typowy użytkownikMacBooka bierze się do zabawy z programatorem.
Innymi słowy sytuacja z bezpieczeństwem Maków robi siętragiczna. Portu Thunderbolt klejem raczej nikt nie zaleje, trzebajakoś choćby ten zewnętrzny monitor podpiąć. Nie wiadomo,co kryje się w firmware tanich adapterów Ethernetu, kupowanych zakilka dolarów z Chin. Pociesza nieco to, że już niebawem pojawićsię ma narzędzie analizy firmware urządzeń perferyjnych dosprzętu Apple, ale co z tego, skoro narzędzia do analizy firmwaresamego komputera raczej stworzyć nie sposób.