[资讯] MacBook爆EFI 重大漏洞

楼主: hihieveryone (逐浪人)   2014-12-27 16:09:18
MacBook爆EFI 重大漏洞,可透过Thunderbolt在韧体植入难以移除的bootkit
研究人员表示,一旦骇客在唯读内存中注入bootkit恶意程式,它就能在第一时间控制
系统,并透过系统管理模式或其他技术来防止被侦测。不论是重灌OS X或是替换硬盘都无
法清除bootkit,只有透过可程式逻辑装置才能回复韧体。
资安研究人员Trammell Hudson准备在下周于德国举行的“混沌通讯大会”(Chaos
Communication Congress)上展示苹果MacBook的安全漏洞,该漏洞让骇客可借由
Thunderbolt接口将bootkit恶意程式植入系统的韧体,就算MacBook用户重灌作业系统或
更换硬盘都无法清除此bootkit。同时恶意程式还可感染Thunderbolt装置而散播到其他的
MacBook。
Hudson说明,骇客有可能利用Thunderbolt Option ROM来规避苹果扩展韧体接口(
Extensible Firmware Interface,EFI)定期更新时的加密签章检查,并将程式码写入
MacBook主机板上的序列周边接口(Serial Peripheral Interface,SPI)唯读内存(
ROM)中,以建立一个韧体等级的bootkit。
bootkit类似rootkit,可以持续藏匿在系统中而不被察觉,只是rootkit通常伪装成驱动
程式,而bootkit则是直接进驻在开机韧体中,在作业系统加载前就已存在,因此更难侦
测也更难移除。
Hudson表示,由于不论是硬件或软件都不会在系统启动时进行韧体的加密检查,因此一旦
骇客在唯读内存中注入恶意程式,它就能在第一时间控制系统,并透过系统管理模式(
System Management Mode,SMM)或其他技术来防止被侦测。
Hudson已开发出一个bootkit的概念性验证程式,能取代苹果在唯读内存中的公开金钥
,也会避免别的金钥取代它。由于开机唯读内存是独立于作业系统之外,也不仰赖其他
储存于硬盘上的元件,因此不论是重灌OS X或是替换硬盘都无法清除bootkit,只有透过
可程式逻辑装置才能回复韧体。
此外,它还能感染其他的Thunderbolt装置,借此将bootkit散播至其他MacBook上。
Hudson说,此一攻击所使用的Option ROM漏洞已存在两年,只要几行程式就能修补,但较
难处理的是苹果EFI韧体的安全性以及在没有可靠硬件下如何安全启动的问题。(编译/陈
晓莉)
http://goo.gl/D4TJUP

Links booklink

Contact Us: admin [ a t ] ucptt.com