在昨天于汉堡结束的混沌计算机俱乐部会议上,安全研究员 Trammell Hudson 详细介绍了苹果电脑中的一个重大漏洞,该漏洞使得重写 EFI Boot ROM(一种管理计算机启动的硬件组件)成为可能。在进行了大量的逆向工程工作后,研究人员注意到可以使用被黑客攻击的 Thunderbolt 适配器刷新该组件的固件。
事实上,在启动过程中,由于 Thunderbolt 适配器集成了 PCIe 连接,因此可以读取 Thunderbolt 适配器上的替代内存区域(“选项 ROM”)。通过修改这些内存区域,就可以将恶意软件植入其中,正如黑客 Snare 在 2012 年 BlackHat USA 会议期间所展示的那样。在这种情况下,Trammel Hudson 使用此攻击向量重写 EFI Boot ROM。这种攻击称为 Thunderstrike,适用于所有带有 Thunderbolt 端口的基于 Intel 的 Mac。因此,除其他外,自 2011 年以来发布的所有 MacBook 都是如此。
但是,医生,情况严重吗?是的,相反。当然,您必须具有物理访问权限才能利用此缺陷。但对于设法克服这一障碍的海盗(或特工)来说,这就是大奖。从 EFI Boot ROM,我们间接获得对机器的完全访问权限,因为它允许在每次启动时安装后门。此外,它的病毒性很强:感染可以通过共享的 Thunderbolt 设备(例如屏幕或投影仪)轻松传播。
最后,这个hack也非常持久:重装操作系统或者换硬盘都没用,因为EFI Boot ROM是完全独立的。也无法重置 EFI Boot ROM。“无论谁感染了 EFI Boot ROM,都可以控制更新过程,因此,例如,自动拒绝来自 Apple 的任何更新,或者更好的是,在再次覆盖之前授权其安装”,研究人员解释道。
Trammel Hudson 联系苹果后,苹果已经采取了应对措施,修改了启动程序。在新的 Mac 中,在 EFI Boot ROM 更新期间将不再能够读取“Option ROM”。旧型号的更新即将发布。但对于研究人员来说,这个解决方案还不够令人满意。他认为旧型号始终容易受到攻击,迫使它们恢复到以前的配置。此外,他认为最近一个名为“Dark Jedi Coma”的缺陷将有可能绕过苹果的反制措施并创建第二个版本的 Thunderstrike。
特拉梅尔·哈德森则选择了另一个选择。他在自己的 Mac 上应用了 Thunderstrike 攻击,以完全禁用 Option ROM 读取,从而使 Thunderstrike 无效。 “我们打开门然后关上它»,强调了黑客。并不愚蠢,但这是一个非常技术性的解决方案,远非每个人都可以使用。与此同时,最好的建议是密切监控您的 Thunderbolt 外围设备,不要将任何东西插入您的计算机。
另请阅读:
重大安全漏洞削弱了 iOS 和 Mac OS X 系统,于 24/02/2014
来源:
的视频演示特拉梅尔·哈德森(用英语讲)
