Atrasta klaida leidžianti senesniuose Mac'uose modifikuoti jų UEFI
OS X saugumo ekspertas aptiko naują klaidą, kuri leidžia modifikuoti senesnių Mac aparatinę įrangą (firmware).
OS X saugumo ekspertas Pedro Vilaca savaitgalį paskelbė savo atradimą - „zero-day“ pažeidžiamumą, kuris senesniuose Mac modeliuose leidžia modifikuoti Mac’o UEFI (unified extensible firmware interface) ir įdiegti „rootkit“ kenkėjišką kodą, kuris yra beveik nepatinkamas ir labai sunkiai pašalinamas.
Įprastai UEFI kodai yra užrakinti, tačiau Vilaca aptiko, kad kai Apple kompiuteriai pagaminti iki 2014 metų vidurio užmiega ir yra vėl pažadinami - UEFI apsauga nuo rašymo suveikia ne iš karto ir dar kurį laiką UEFI kodą galima modifikuoti.
Vilaca sako, kad vienintelis būdas kompiuterį apsaugoti nuo šio pažeidžiamo yra jį išjunginėti ir niekada neleisti jam užmigti. Panaši spraga, pavadinta „Thunderstrike“[1] buvo aptikta pernai metais, tačiau Vilaca tvirtina, kad jo naujai aptikta yra kur kas pavojingesnė, nes ja pasinaudoti galima nuotoliniu būdu (norint pasinaudoti „Thunderstrike“ saugumo spraga reikalingas fizinis priėjimas prie Mac kompiuterio turinčio Thunderbolt jungtį).
Šios saugumo spragos pavojingumas nėra vien tame, kad norint modifikuoti UEFI nereikia turėti fizinio priėjimo prie Mac, bet ir tame, kad galimybė valdyti Mac, kuriame yra modifikuotas, su kenkėjišku kodu, UEFI - išliks net ir suformatavus ar įdiegus naują kompiuterinį diską.
Ataka buvo patikrinta su MacBook Pro Retina, MacBook Pro 8.2 ir MacBook Air su įdiegtomis naujausiomis EFI versijomis ir visuose trijuose kompiuterių modeliuose ji pavyko sėkmingai. 2014 metais pagamintuose Mac kompiuteriuose šio pažeidžiamo nėra ir tai leidžia manyti, kad Apple apie šią spragą žino, tačiau senesniuose Mac modeliuose jos dar neužtaisė.
Panašu, kad Vilaka prieš paviešindamas, šios klaidos detales, apie savo atradimą, Apple neinformavo. Daugelis kompanijų skatina saugumo ekspertus informuojančius apie sistemų klaidas (Apple nėra viena tokių kompanijų) ir tokie klaidų paviešinimai „iš anksto neįspėjus“ daugelių kompanijų atstovus verčia žaliuoti ir rautis plaukus nuo galvų. Vilaka savo bloge rašo, kad neturi tikso erzinti Apple, jis tik nori, kad OS X taptų geresnė.
Jei domina daugiau techninės informacijos apie šią saugumo spragą - skaitykite, švelniai tariant, įdomaus pavadinimo :) „reverse.put.as“ Pedro Vilaca bloge paskelbtą straipsnį.
• Apple teigia užtaisiusi OS X Yosemite saugumo spragą, kurios iš tikro neužtaisė
• OS X nebėra tokia saugi, kokia buvo anksčiau
• Žvilgsnis atgal: Mac kenkėjiškos programėlės 2014 metais
• Mac kompiuterių EFI gali būti pažeista bootkit atakų perduodamų per Thunderbolt
• Kodėl dabar, kai Mac kompiuteriai tokie populiarūs jiems skirtų virusų nepadaugėja?
-
saugumo eksperto Trammell Hudson aptiktą ir 2014 metų gruodį Hamburge vykusioje „Chaos Communication Congress“ konferencijoje pademonstruotą saugumo spragą pavadintą „Thunderstrike“, leidžiančią modifikuoti Mac kompiuterių UEFI per Thunderbolt jungtį, Apple užtaisė išleisdama OS X 10.10.2 atnaujinimą. ↩
norėčiau rizikos vertinimo schemos:
- kaip patikrinti, ar turimas mac pažeidžiamas?
- kokia tikimybė, kad prie pažeidžiamo mac kas nors bandys lįsti?
- kokią realią žalą gali padaryti užkratas?
- Gali susikurti SPI dumperį ir Trammell'io programinės įrangos pagalba tiesiogiai dumpnti bios chip'ą ir tada palyginti dumpo turinį su tuo, kurį originaliai pateikia Apple.
- priklausomai nuo to kiek turi piktų ir sumanių nedraugų. Jei žinai jų skaičių - gali pasiskaičiuoti P(A—) = 1 - P(A) kur P(A—) - priešingo įvykio tikimybė, o P(A) - įvykio tikimybė
- priklauso nuo nedraugo fantazijos ir sugebėjimų, tačiau nedraugas turi būti darbštus, sumanus ir nagingas, nes reversinžinierinti EFI yra užknisantis - „pain in the ass“ reikalas net ir į pagalbą pasitelkiant EFI utėles.
Tik neprašyk, kad parašyčiau, kaip naudotis įrankiais leidžiančiais šį exploitą išnaudoti.
tikrai neprašau - pats tokiais dalykais neužsiimčiau, net jei sugebėčiau.
tik suprantu, kad tikimybė turėti problemų gana maža ;)
ačiū
Taip, tikimybė nepaprastai maža.