Mac电脑0day漏洞使其可轻易感染rootkit

2015-06-02 212077人围观 ,发现 2 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

安全研究人员发现了一个存在于很多Mac固件中的0day漏洞,攻击者利用该漏洞可以很容易地安装EFI rootkit。

漏洞原理

近期,网络安全专家Pedro Vilaça在苹果Mac系统中发现了一个低级0day漏洞,特权用户利用该漏洞可以轻易地安装EFI rootkit。

Vilaça解释说,这次的攻击与安全专家Trammell Hudson之前演示的攻击没有任何关联,当时Hudson发现的是一种名为“Thunderstrike”的技术,利用该技术可以通过Thunderbolt端口使苹果的Mac电脑感染EFI bootkit(FreeBuf相关报道)。而这次由Vilaça发现的0day漏洞则完全不同,当Mac电脑进入睡眠模式时,它利用了flash保护未锁定这一特点。

该专家在一篇博文中写道:

“不得不说,苹果的S3挂起-恢复实现方式是如此的糟糕,在一个挂起-恢复周期之后,他们竟然未锁定flash保护。这意味着,除了一个挂起-恢复周期、内核扩展、flashrom和root权限,不用其他任何技巧,你就可以从用户态和rootkit EFI覆写BIOS的内容。”

专家还解释说,通过该漏洞,使用远程向量安装一个EFI rootkit相当容易。这是有可能的,因为当Mac电脑进入30秒的睡眠状态时,flash锁就会被移除。

“在无需物理接触目标机器的情况下,可以通过Safari或其他远程向量利用该漏洞安装EFI rootkit,前提是当前会话被挂起。你也可以通过远程方式强制挂起发生并触发它。另外,为了利用该漏洞,物理接触是必需的吗?答案是否定的,利用该漏洞并不需要物理接触目标电脑,你可以利用指令‘sudo pmset sleepnow’触发睡眠,接着你只需要等待电脑从睡眠状态恢复,然后继续利用该漏洞。”

在这段时间,攻击者可以更新闪存存储器(flash ROM)内存中的内容,包括EFI二进制文件、rom存储器。

受影响产品

MacBook Pro Retina、MacBook Pro和MacBook Air等运行最新EFI固件更新的电脑型号都受此0day漏洞影响。然而,需要注意的是,并非所有上面所提系统都受此漏洞影响,Vilaça推测苹果公司应该已经意识到了这个0day漏洞,并已经对一些模块打了必要的补丁。

此外,该研究者还提供了有关测试该漏洞的指导意见,即通过比较用户机器的固件和他整理的图像存档。

“下载DarwinDumper并加载DirectHW.kext内核扩展。然后就可以通过指令‘flashrom -r biosdump -V -p internal’使用flashrom来转储BIOS并显示寄存器内容。此外,你也可以自己编译DirectHW.kext和flashrom。DarwinDumper可以直接使用,并且它的kext模块似乎是合法的(因为它在苹果的排除清单中,所以至少苹果信任它)。”

让我们共同等待苹果对该漏洞的回应吧!

*参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • 胖子 (3级) 回复
    被玩坏的 S3 boot script , 还0 day ,我就呵呵了... 植入这个bios级bootkit 是需要重启才能写入bios Flash ,因为大多数都默认开启了Secure Flash ,到dxe IPL的代码在硬件上已经锁死了的 。 如果还有TPM 保护的话,根本没得搞。 而且这个漏洞已经早就Fixed 了, 在新的UEFI 代码里面。
    )26( 亮了
  • Xarray (4级) 回复
    吓死我了 ,说得好像我能买的起Mac似的
    )10( 亮了
发表评论

已有 2 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php