Un fallo de MacBook permite fácilmente a un atacante infectar tu OS X con un rootkit

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Pedro Vilaça, un respetado hacker de entornos Apple, ha descubierto una vulnerabilidad a bajo nivel que afecta a los ordenadores Mac. Esta vulnerabilidad, considerada un 0day, permite a los usuarios con privilegios instalar fácilmenterootkits EFI. No es la primera vez que hablamos derootkits en Mac, ya que los rootkits en el firmware han estado muy presentes en este blog, por ejemlo porThunderbolt o explicando cómo cazarlos en memoria.
El hacker dice que el ataque es una extensión de una investigación anterior, la cual fue presentada en el prestigioso congreso Chaos Communication Congress, y en la cual se aprovechó de protecciones de la memoria flash desbloqueadas cuando las máquinas entran en modo de suspensión. Vilaça indicó que la implementación de la suspensión-reanudación de Apple es mala y que deja las protecciones de la flash desbloqueadas. Esto significa que cualquiera puedesobreescribir el contenido de la BIOS desde Userland con un rootkit EFI sin otro truco. Resumiendo, una extensión del kernel, flashrom y acceso de root.
Un fallo de MacBook permite fácilmente a un atacante infectar tu OS X con un rootkit
Un fallo de MacBook permite fácilmente a un atacante infectar tu OS X con un rootkit
El error se peude utilizar con un ataque remoto, por ejemplo a través de alguna vulnerabilidad del navegador Safari, para instalar un rootkit EFI sin acceso físico, siempre y cuando una suspensión del equipo ocurra en el período actual de las sesiones. Probablemente se podría obligar al usuario a suspender y desencadenar este ataque de forma remota.
En resumen, Apple ha sido notificado de este grave fallo. Han determinado que el tiempo aproximado que el equipo tiene que entrar en suspensión está alrededor de 30 segundos o más, tras este período el sistema volverá a la vida con los cerrojos o protecciones de escritura en laFlash desactivados, por lo que se podrá sobreescribir el contenido de la BIOS. Los modelos afectados son MacBook Pro Retina, MacBook Pro y MacBook Air, cada uno corriendo las últimas actualizaciones de firmware EFI.
Fuente:http://www.seguridadapple.com/
Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone