安全研究人員Pedro Vilaca發現,駭客可以利用Mac OS的BIOS漏洞遠端攻擊睡眠模式的Macbook電腦並改寫BIOS以植入rootkit程式,至少2014年中以前出貨的Mac電腦都有此風險。

原本Vilaca是以前人發現到的二個BIOS舊漏洞攻擊模式做測試,一是Trammell Hudson所發現的Thunderbolt EFI介面漏洞,相關攻擊名為Thunderstrike。二是由Rafal Wojtczuk和Corey Kallenberg發現的UEFI介面漏洞,其漏洞編號為CVE-2014-8274,研究人員名之為Dark Jedi漏洞。後來Vilaca發現,他所測試的可能是新的零時差漏洞。

Vilaca發現,攻擊者可經由暫停-繼續(suspend-resume)的週期修改開機指令碼(boot script),讓電腦從睡眠模式重新開機時破解BIOS的快閃記憶體保護並放進rootkit。

他並針對執行最新EFI韌體的MacBook Pro Retina、MacBook Pro 8.2及MacBook Air進行測試,證實全部受到影響。不過由於最新款的機型Vilaca並未取得實機測試,因此並不確定是否受影響。他說,希望2014年中/末之後的機型沒有這個漏洞。

Vilaca補充,雖然和之前發現的Dark Jedi及 Thunderstrike攻擊一樣都是取得Mac的較底層控制權限,但先前所發現的漏洞必需接觸實機才能夠發動攻擊。Vilaca的測試則發現,新漏洞讓攻擊者可利用Safari或其他遠端連結方式植入rootkit,只要能夠讓工作中的MacBook進入休眠。

駭客可以耐心等用戶電腦進入睡眠模式,或是直接下sudo pmset sleepnow指令強迫電腦睡眠再重開機,就能遠端在BIOS安裝rootkit程式,不需接近電腦。更厲害的是,由於BIOS rootkit是存在系統更底層,因此即使電腦格式化或重灌作業系統也無法去除。

Vilaca指出,新漏洞不太可能用來大規模入侵,而較會用於精準攻擊。

至於防範方法,Vilaca指出,一般使用者幾乎無能為力,而技術能力較高的使用者則可下載研究人員釋出的工具,不過它僅能在攻擊發生時發出警示。

原本Vilaca文章指出,這是Corey及Trammell已經揭露的漏洞,「確認」蘋果知道。但之後Vilaca在文章末更新指出,他似乎低估了自己的發現,這似乎是先前未被揭露的零時差漏洞。不過該漏洞目前並未得到蘋果的證實。(編譯/林妍溱)


Advertisement

更多 iThome相關內容