Το προφίλ μας στο Google Plus
0

Υπολογιστές Mac: Ένα 0day για το EFI!

Νέα ευπάθεια στους υπολογιστές Mac επιτρέπει σε επιτιθέμενους να εγκαθιστούν, απομακρυσμένα και μόνιμα, rootkit στο EFI του μηχανήματος-στόχου, αποκτώντας έτσι πλήρη έλεγχο του συστήματος.

Υπολογιστές Mac: Ένα 0day για το EFI | Image source: wallpaperstock.net

Η ευπάθεια φαίνεται πως οφείλεται σε bug στην υλοποίηση τεχνικών εξοικονόμησης ενέργειας, όταν ο υπολογιστής μπαίνει σε sleep mode. Αναλυτικότερα, περιοχές της μνήμης του EFI εκτίθενται ως εγγράψιμες από λογαριασμούς απλών χρηστών του λειτουργικού. Υπό φυσιολογικές συνθήκες, οι ίδιες περιοχές μνήμης επιτρέπουν την ανάγνωση αλλά όχι την εγγραφή. Όταν, ωστόσο, σχετικά πρόσφατα μοντέλα υπολογιστών Mac μεταβαίνουν σε sleep mode για 20 περίπου δευτερόλεπτα κι έπειτα ξυπνούν και πάλι, οι εν λόγω περιοχές της μνήμης του EFI επιτρέπουν *και* την εγγραφή.

Ο Pedro Vilaca, ο ερευνητής ασφαλείας που ανακάλυψε το πρόβλημα, εξηγεί ότι η συγκεκριμένη ευπάθεια είναι δυνατόν να επιτρέψει την απομακρυσμένη εγκατάσταση rootkits και άλλων ειδών malware, τα οποία μάλιστα θα είναι αόρατα για το λειτουργικό σύστημα. Ένα μέσο για την εγκατάσταση του κακόβουλου λογισμικού στο EFI είναι ο Safari, ο προκαθορισμένος web browser στο OS X.

Ένα πιθανό remote exploit θα μπορούσε να είναι ένα απλό payload, το οποίο θα ήλεγχε αν υπήρξε προηγούμενο sleep state κι αν το μηχάνημα είναι ευπαθές. Εναλλακτικά, θα μπορούσε να θέσει τον υπολογιστή σε sleep mode και να τον περιμένει να ξυπνήσει, ώστε να διαπιστώσει αν είναι δυνατόν να συνεχίσει τη δράση του. Σε περίπτωση που η σχετική περιοχή της μνήμης του EFI επέτρεπε την εγγραφή, το payload θα ήταν σε θέση να αντικαταστήσει το BIOS firmware με νέο κώδικα, ο οποίος θα περιελάμβανε το EFI rootkit.

Είναι πιθανό να απαιτούνται πρόσθετα βήματα για την απόκτηση δικαιωμάτων υπερχρήστη, τα οποία χρειάζονται για το φόρτωμα kernel modules, ο Vilaca όμως επισημαίνει ότι δεν είναι ιδιαίτερα δύσκολο ν’ αποκτηθούν. Μια τέτοια επίθεση εξάλλου είναι λίγο-πολύ στοχευμένη, αφού απαιτείται διαφορετικό firmware για κάθε μοντέλο Mac. Την ίδια στιγμή, όμως, ένα έξυπνο payload θα είναι σε θέση να κατεβάζει τη σωστή έκδοση για το υπό επίθεση μοντέλο.

Ο Vilaça πιστεύει ότι η Apple γνωρίζει για το πρόβλημα, αφού έπειτα από δοκιμές διαπίστωσε ότι η αδυναμία δεν υφίσταται σε μοντέλα Mac που κυκλοφόρησαν μετά τα μέσα του 2014. Ύστερα από ελέγχους που διεξήγαγε το iTnews, διαπιστώθηκε ότι ένα MacBook Pro κι ένας iMac του 2013 ήταν αμφότερα ευπαθή. Μη ευάλωτα βρέθηκαν ένα MacBook κι ένα MacBook Air, και τα δύο μοντέλα 2015.

Πηγή: iTnews

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων