Mac kompiuterių EFI gali būti pažeista bootkit atakų perduodamų per Thunderbolt

Sekančią savaitę Vokietijoje vyksiančiame „Chaos Communication Congress“ bus demonstruojamas kenkėjiškas kodas, kuris per specialiai paruoštą Thunderbolt įrenginį gali būti įdiegtas bet kurio Mac kompiuterio turinčio Thunderbolt jungtį EFI boot ROM’e.

Saugumo eksperto Trammell Hudson aptiktas atakos būdas leidžiantis per specialiai paruoštą Thunderbolt įrenginį, bet kurio Thunderbolt jungtį turinčio Mac kompiuterio EFI[1] įdiegti kenkėjišką kodą, aptiktas 2012 metais ir ši saugumo spraga vis dar atvira. Kaip veikia šis metodas, sekančią savaitę (gruodžio 29 dieną) Vokietijos mieste Hamburge vyksiančio „Chaos Communication“ kongreso metu pademonstruos pats jo atradėjas - T. Hudson.

Kadangi kodas „gyvena“ atskirame motininės plokštės ROM, tokios atakos pasekmės negali būti panaikintos iš naujo įdiegiant OS X ar net pakeičiant kietąjį diską. Hudson taip pat teigia, kad yra galimybė pakiesti Apple naudojamą šifravimo raktą nauju ir tokiu būdu legali aparatinė įranga „firmware“ negalės būti įdiegta.

Sistemos krovimo metu nevykdoma nei programinio, nei aparatinio lygmens šifravimo patikra todėl vos tik kenkėjiškas kodas įdiegiamas į kompiuterio ROM - jis kontroliuoja kompiuterį nuo pat pirmosios instrukcijos gautos jį įjungus. Siekdamas apsisaugoti nuo aptikimo kenkėjas gali naudoti SMM ar kitus metodus.

Pažeidžiamumai tokiame žemame lygmenyje sukelia ypač daug rūpesčių, nes juos sudėtinga aptikti ir jie gali padaryti daug žalos. Vienas, anksčiau demonstruotas EFI pažeidžiamumas bootkit pagalba leidžia apeiti pilną disko šifravimą, tokį kaip Apple FileVault.

Nors Hudson’o ataka reikalauja turėti fizinį priėjimą prie įrenginio, užkrato gebėjimas plisti per kitus Thunderbolt įrenginius šią saugumo spragą padaro itin pavojinga, nes vartotojai dažnai keičiasi mažais įrenginiais, tokiais kaip displėjų adapteriai ir ilgai nemąsto prieš juos įkišdami į savo kompiuterį.