蘋果Mac固件中的0day漏洞可易裝EFI rootkit
責編:mhshi |2015-06-03 14:29:18近期,網絡安全專家Pedro Vilaca在蘋果Mac系統中發現了一個低級0day漏洞,特權用戶利用該漏洞可以輕易地安裝EFI rootkit。
Vilaca解釋說,這次的攻擊與安全專家Trammell Hudson之前演示的攻擊沒有任何關聯,當時Hudson發現的是一種名為“Thunderstrike”的技術,利用該技術可以通過Thunderbolt端口使蘋果的Mac電腦感染EFI bootkit(FreeBuf相關報道)。而這次由Vila?a發現的0day漏洞則完全不同,當Mac電腦進入睡眠模式時,它利用了flash保護未鎖定這一特點。
“不得不說,蘋果的S3掛起-恢復實現方式是如此的糟糕,在一個掛起-恢復周期之后,他們竟然未鎖定flash保護。這意味著,除了一個掛起-恢復周期、內核擴展、flashrom和root權限,不用其他任何技巧,你就可以從用戶態和rootkit EFI覆寫BIOS的內容。”
網絡安全專家還解釋說,通過該漏洞,使用遠程向量安裝一個EFI rootkit相當容易。這是有可能的,因為當Mac電腦進入30秒的睡眠狀態時,flash鎖就會被移除。
“在無需物理接觸目標機器的情況下,可以通過Safari或其他遠程向量利用該漏洞安裝EFI rootkit,前提是當前會話被掛起。你也可以通過遠程方式強制掛起發生并觸發它。另外,為了利用該漏洞,物理接觸是必需的嗎?答案是否定的,利用該漏洞并不需要物理接觸目標電腦,你可以利用指令‘sudo pmset sleepnow’觸發睡眠,接著你只需要等待電腦從睡眠狀態恢復,然后繼續利用該漏洞。”
在這段時間,攻擊者可以更新閃存存儲器(flash ROM)內存中的內容,包括EFI二進制文件、rom存儲器。
MacBook Pro Retina、MacBook Pro和MacBook Air等運行最新EFI固件更新的電腦型號都受此0day漏洞影響。然而,需要注意的是,并非所有上面所提系統都受此漏洞影響,Vila?a推測蘋果公司應該已經意識到了這個0day漏洞,并已經對一些模塊打了必要的補丁。
此外,該網絡安全研究者還提供了有關測試該漏洞的指導意見,即通過比較用戶機器的固件和他整理的圖像存檔。
“下載DarwinDumper并加載DirectHW.kext內核擴展。然后就可以通過指令‘flashrom -r biosdump -V -p internal’使用flashrom來轉儲BIOS并顯示寄存器內容。此外,你也可以自己編譯DirectHW.kext和flashrom。DarwinDumper可以直接使用,并且它的kext模塊似乎是合法的(因為它在蘋果的排除清單中,所以至少蘋果信任它)。”