Уязвимость в MacBook EFI позволяет использование вредоносного ПО в микросхеме Boot ROM

24.12.2014 | 00:02 Экономика

Злоумышленник может записать вредоносную программу в Boot ROM с помощью атаки «evil maid» через порты MacBook Thunderbolt.

На следующей неделе на 31-м Всемирном конгрессе хакеров Chaos Communication Congress (31C3) в Гамбурге, программист/хакер Трэммэл Хадсон представит исследования, показывающие как заразить Apple EFI (Extensible Interface Firmware — расширяемый интерфейс прошивки) с помощью доступных извне портов Thunderbolt.

Хадсон говорит, что его доказательство правильности концепции атаки требует перезагрузки MacBook, но есть атаки, такие как SLOTSCREAMER, которые могут быть использованы для нападения на работающую систему. Хадсон также говорит, что он «… находится в контакте с командой безопасности компании Apple в течение почти двух лет в отношении вопросов Option ROM и Thunderbolt».

Атака «evil maid» заменяет загрузочный код на компьютере. Прошивка EFI ROM должна быть криптографически подписана, но Хадсон говорит, что Thunderbolt Option ROM может использоваться для обхода проверки сигнатуры при процедуре обновления EFI. Ни аппаратное, ни программное обеспечение MacBook не выполняет криптографическую проверку ROM во время загрузки.

В этом случае, атакующий код управляет MacBook с самой первой инструкции. Он в состоянии скрыть себя от обнаружения другим программным обеспечением, используя SMM и другие методы, и его невозможно удалить без аппаратного вмешательства в систему. Код выживает после переустановки OS X и замены жесткого диска.

Хадсон создал доказательство концепции буткита, который также заменяет криптографические ключи Apple в ПЗУ и предотвращает любые попытки заменить их на неподписанные закрытым ключом злоумышленника.

Кроме этого, вредоносная прошивка имеет возможность записи в присоединенный Thunderbolt Option ROM во время загрузки, а это означает, что она может распространять себя без подключения к сети.