Menú principal

lunes, 1 de junio de 2015

Un fallo de MacBook permite fácilmente a un atacante infectar tu OS X con un rootkit

Pedro Vilaça, un respetado hacker de entornos Apple, ha descubierto una vulnerabilidad a bajo nivel que afecta a los ordenadores Mac. Esta vulnerabilidad, considerada un 0day, permite a los usuarios con privilegios instalar fácilmente rootkits EFI. No es la primera vez que hablamos de rootkits en Mac, ya que los rootkits en el firmware han estado muy presentes en este blog, por ejemlo por Thunderbolt o explicando cómo cazarlos en memoria.

El hacker dice que el ataque es una extensión de una investigación anterior, la cual fue presentada en el prestigioso congreso Chaos Communication Congress, y en la cual se aprovechó de protecciones de la memoria flash desbloqueadas cuando las máquinas entran en modo de suspensión. Vilaça indicó que la implementación de la suspensión-reanudación de Apple es mala y que deja las protecciones de la flash desbloqueadas. Esto significa que cualquiera puede sobreescribir el contenido de la BIOS desde Userland con un rootkit EFI sin otro truco. Resumiendo, una extensión del kernel, flashrom y acceso de root.

El error se peude utilizar con un ataque remoto, por ejemplo a través de alguna vulnerabilidad del navegador Safari, para instalar un rootkit EFI sin acceso físico, siempre y cuando una suspensión del equipo ocurra en el período actual de las sesiones. Probablemente se podría obligar al usuario a suspender y desencadenar este ataque de forma remota.

Figura 1: Prueba de concepto

En resumen, Apple ha sido notificado de este grave fallo. Han determinado que el tiempo aproximado que el equipo tiene que entrar en suspensión está alrededor de 30 segundos o más, tras este período el sistema volverá a la vida con los cerrojos o protecciones de escritura en la Flash desactivados, por lo que se podrá sobreescribir el contenido de la BIOS. Los modelos afectados son MacBook Pro Retina, MacBook Pro y MacBook Air, cada uno corriendo las últimas actualizaciones de firmware EFI.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares