MacBook爆EFI 重大漏洞，可透过Thunderbolt在韧体植入难以移除的bootkit
研究人员表示，一旦骇客在唯读内存中注入bootkit恶意程式，它就能在第一时间控制
系统，并透过系统管理模式或其他技术来防止被侦测。不论是重灌OS X或是替换硬盘都无
法清除bootkit，只有透过可程式逻辑装置才能回复韧体。
资安研究人员Trammell Hudson准备在下周于德国举行的“混沌通讯大会”（Chaos
Communication Congress）上展示苹果MacBook的安全漏洞，该漏洞让骇客可借由
Thunderbolt接口将bootkit恶意程式植入系统的韧体，就算MacBook用户重灌作业系统或
更换硬盘都无法清除此bootkit。同时恶意程式还可感染Thunderbolt装置而散播到其他的
MacBook。
Hudson说明，骇客有可能利用Thunderbolt Option ROM来规避苹果扩展韧体接口（
Extensible Firmware Interface，EFI）定期更新时的加密签章检查，并将程式码写入
MacBook主机板上的序列周边接口（Serial Peripheral Interface，SPI）唯读内存（
ROM）中，以建立一个韧体等级的bootkit。
bootkit类似rootkit，可以持续藏匿在系统中而不被察觉，只是rootkit通常伪装成驱动
程式，而bootkit则是直接进驻在开机韧体中，在作业系统加载前就已存在，因此更难侦
测也更难移除。
Hudson表示，由于不论是硬件或软件都不会在系统启动时进行韧体的加密检查，因此一旦
骇客在唯读内存中注入恶意程式，它就能在第一时间控制系统，并透过系统管理模式（
System Management Mode，SMM）或其他技术来防止被侦测。
Hudson已开发出一个bootkit的概念性验证程式，能取代苹果在唯读内存中的公开金钥
，也会避免别的金钥取代它。由于开机唯读内存是独立于作业系统之外，也不仰赖其他
储存于硬盘上的元件，因此不论是重灌OS X或是替换硬盘都无法清除bootkit，只有透过
可程式逻辑装置才能回复韧体。
此外，它还能感染其他的Thunderbolt装置，借此将bootkit散播至其他MacBook上。
Hudson说，此一攻击所使用的Option ROM漏洞已存在两年，只要几行程式就能修补，但较
难处理的是苹果EFI韧体的安全性以及在没有可靠硬件下如何安全启动的问题。（编译/陈
晓莉）
http://goo.gl/D4TJUP