При выходе компьютера из спящего режима отключается защита EFI от доступа приложений из пространства пользователя.
В персональных компьютерах производства Apple обнаружена новая брешь , эксплуатация которой позволяет злоумышленникам перепрошивать устройства, помещая вредоносы непосредственно в EFI.
Как выяснил специалист по информационной безопасности Педро Вилака (Pedro Vilaca), в компьютерах Apple, выпущенных до середины 2014 года, содержится уязвимость, позволяющая злоумышленнику внедрить в прошивку вредоносный код. Удалить этот код очень сложно, более того, он практически не детектируется антивирусами.
Компьютеры содержат встроенное ПО (прошивку), которое управляет процессом загрузки, а затем передает контроль операционной системе. Как правило, эту прошивку называют BIOS по аналогии с названием ее старых реализаций, хотя более современная версия прошивки носит название UEFI (unified extensible firmware interface).
Вилака заметил, что единый интерфейс EFI позволяет проводить манипуляции с ним. Обычно код EFI скрыт от пользователей, однако при выходе компьютера из спящего режима почему-то отключается FLOCKDN — защита EFI от доступа приложений из пространства пользователя. Это позволяет злоумышленнику с легкостью внедрить в EFI вредоносный код. Для того чтобы снять защиту, потребуется всего лишь перевести компьютер в спящий режим и затем вывести из него. При этом переустановка системы и даже замена винчестера вернуться к исходному состоянию EFI не помогут.
Исследователь протестировал метод атаки на моделях MacBook Pro Retina, MacBook Pro 8.2 и MacBook Air, выпущенных до середины 2014 года. На всех компьютерах была установлена последняя версия прошивки, и все они оказались уязвимыми. Эксперт оповестил о проблеме руководство Apple, однако компания пока никак не отреагировала на ситуацию.
Это не первый случай, когда специалисты сообщают о возможности модифицирования прошивки «яблочных» ПК. В декабре прошлого года программист Трэммэл Хадсон (Trammell Hudson) сообщил о бреши в прошивке Apple EFI, позволяющей установить вредоносное ПО в ПЗУ начальной загрузки популярных ноутбуков MacBook.