在昨天於漢堡結束的混沌電腦俱樂部會議上,安全研究員 Trammell Hudson 詳細介紹了蘋果電腦中的一個重大漏洞,該漏洞使得重寫 EFI Boot ROM(一種管理電腦啟動的硬體組件)成為可能。在進行了大量的逆向工程工作後,研究人員注意到可以使用被駭客攻擊的 Thunderbolt 適配器來刷新該元件的韌體。
事實上,在啟動過程中,由於 Thunderbolt 適配器整合了 PCIe 連接,因此可以讀取 Thunderbolt 適配器上的替代記憶體區域(「選項 ROM」)。透過修改這些記憶體區域,就可以將惡意軟體植入其中,正如駭客 Snare 在 2012 年 BlackHat USA 會議期間所展示的那樣。在這種情況下,Trammel Hudson 使用此攻擊向量重寫 EFI Boot ROM。這種攻擊稱為 Thunderstrike,適用於所有具有 Thunderbolt 連接埠的基於 Intel 的 Mac。因此,除其他外,自 2011 年以來發布的所有 MacBook 都是如此。
但是,醫生,情況嚴重嗎?是的,相反。當然,您必須具有實體存取權才能利用此缺陷。但對於設法克服這一障礙的海盜(或特工)來說,這就是大獎。從 EFI Boot ROM,我們間接獲得對機器的完全存取權限,因為它允許在每次啟動時安裝後門。此外,它的病毒性很強:感染可以透過共享的 Thunderbolt 裝置(例如螢幕或投影機)輕鬆傳播。
最後,這個hack也非常持久:重裝作業系統或換硬碟都沒用,因為EFI Boot ROM是完全獨立的。也無法重置 EFI Boot ROM。“無論誰感染了 EFI Boot ROM,都可以控制更新過程,因此,例如,自動拒絕來自 Apple 的任何更新,或者更好的是,在再次覆蓋之前授權其安裝”,研究人員解釋。
Trammel Hudson 聯繫蘋果後,蘋果已經採取了應對措施,修改了啟動程序。在新的 Mac 中,在 EFI Boot ROM 更新期間將不再能夠讀取「Option ROM」。舊型號的更新即將發布。但對於研究人員來說,這個解決方案還不夠令人滿意。他認為舊型號始終容易受到攻擊,迫使它們恢復到先前的配置。此外,他認為最近一個名為「Dark Jedi Coma」的缺陷將有可能繞過蘋果的反制措施並創建第二個版本的 Thunderstrike。
特拉梅爾·哈德森則選擇了另一個選擇。他在自己的 Mac 上應用了 Thunderstrike 攻擊,以完全停用 Option ROM 讀取,從而使 Thunderstrike 無效。 “我們打開門然後關上它»,強調了駭客。並不愚蠢,但這是一個非常技術性的解決方案,遠非每個人都可以使用。同時,最好的建議是密切監控您的 Thunderbolt 週邊設備,不要將任何東西插入您的電腦。
另請閱讀:
重大安全漏洞削弱了 iOS 和 Mac OS X 系統,於 24/02/2014
來源:
的視頻演示特拉梅爾·哈德森(用英語講)