Уязвимость в Mac позволяет внедрять трояны непосредственно в EFI

image

Теги: уязвимость, Apple, прошивка

При выходе компьютера из спящего режима отключается защита EFI от доступа приложений из пространства пользователя.

В персональных компьютерах производства Apple обнаружена новая  брешь , эксплуатация которой позволяет злоумышленникам перепрошивать устройства, помещая вредоносы непосредственно в EFI.

Как  выяснил  специалист по информационной безопасности Педро Вилака (Pedro Vilaca), в компьютерах Apple, выпущенных до середины 2014 года, содержится уязвимость, позволяющая злоумышленнику внедрить в прошивку вредоносный код. Удалить этот код очень сложно, более того, он практически не детектируется антивирусами.

Компьютеры содержат встроенное ПО (прошивку), которое управляет процессом загрузки, а затем передает контроль операционной системе. Как правило, эту прошивку называют BIOS по аналогии с названием ее старых реализаций, хотя более современная версия прошивки носит название UEFI (unified extensible firmware interface).

Вилака заметил, что единый интерфейс EFI позволяет проводить манипуляции с ним. Обычно код EFI скрыт от пользователей, однако при выходе компьютера из спящего режима почему-то отключается FLOCKDN — защита EFI от доступа приложений из пространства пользователя. Это позволяет злоумышленнику с легкостью внедрить в EFI вредоносный код. Для того чтобы снять защиту, потребуется всего лишь перевести компьютер в спящий режим и затем вывести из него. При этом переустановка системы и даже замена винчестера вернуться к исходному состоянию EFI не помогут.

Исследователь протестировал метод атаки на моделях MacBook Pro Retina, MacBook Pro 8.2 и MacBook Air, выпущенных до середины 2014 года. На всех компьютерах была установлена последняя версия прошивки, и все они оказались уязвимыми. Эксперт оповестил о проблеме руководство Apple, однако компания пока никак не отреагировала на ситуацию.

Это не первый случай, когда специалисты сообщают о возможности модифицирования прошивки «яблочных» ПК. В декабре прошлого года программист Трэммэл Хадсон (Trammell Hudson)  сообщил  о бреши в прошивке Apple EFI, позволяющей установить вредоносное ПО в ПЗУ начальной загрузки популярных ноутбуков MacBook. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.