WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Apple Mac dính lỗ hổng zero-day EFI
Cập nhật ngày 3/6/2015: Cuộc tấn công gần giống với Thunderstrike được phát hiện cuối năm ngoái bởi Trammel Hudson, cho phép thay đổi UEFI bằng cách truy nhập thiết bị ngoại vi được kết nối tới cổng Thunderbolt của Mac.
Vilaca cho biết ông đã kiểm thử cuộc tấn công thành công trên MacBook Pro Retina, MacBook Air và MacBook Pro 8.2 và MacBook Air. Tất cả các thiết bị này đều sử dụng phiên bản EFI mới nhất. Ngoài ra, lỗ hổng có thể bị khai thác để cài đặt EFI rootkit thông qua không chỉ Safari mà còn nhiều trình duyệt web khác.
Theo nhà nghiên cứu cách duy nhất mà người dùng có thể ngăn chặn được cuộc tấn công là không để máy tính của mình ở chế độ sleep, mà phải luôn tắt khi không sử dụng. (The Hacker News)
------------------
Một lỗ hổng mới trên máy tính Apple Mac có thể được sử dụng để chèn phần mềm độc hại (rootkit malware) vào máy tính người dùng, cho phép tin tặc kiểm soát toàn bộ hệ thống.
Nguyên nhân chính gây ra lỗ hổng zero-day này, hiện tại vẫn chưa có tên, vẫn chưa được xác định.
Có khả năng là lỗ hổng do một lỗi nằm trong chế độ tiết kiệm năng lượng của Apple. Chế độ này có thể để lại một khoảng trống của bộ nhớ trong giao diện firmware mở rộng (EFI) (cho phép truy nhập và kiểm soát phần cứng ở mức thấp) có khả năng ghi từ tài khoản người dùng trên máy tính.
Khoảng trống của bộ nhớ thường được khóa ở chế độ Chỉ đọc để bảo vệ thiết bị.
Tuy nhiên, thao tác đặt các máy tính Mac model mới ở chế độ sleep trong khoảng 20 giây sau đó bật lại sẽ mở được khóa bộ nhớ EFI để ghi.
Nhà nghiên cứu phát hiện ra lỗi này, Pedro Vilaca, cho biết lỗ hổng có thể được sử dụng để chèn rootkit hoặc mã độc từ xa bằng cách sử dụng phiên trình duyệt Safari. Hệ điều hành không phát hiện thấy các rootkit và malware này trong bộ nhớ chớp có khả năng ghi.
Vilaca cho biết: “Việc khai thác từ xa có thể dễ dàng truyền tải một đoạn dữ liệu. Đoạn dữ liệu này sẽ chờ hoặc kiểm tra xem máy đã ở chế độ sleep hay chưa và máy có lỗ hổng không; hoặc đoạn dữ liệu sẽ buộc thiết bị chuyển sang chế độ sleep và chờ resume để hoạt động”.
“Sau khi các cơ chế BIOS bị mở, mã độc có thể dễ dàng viết đè lên firmware BIOS bằng một đoạn mã nào đó có chứa rootkit EFI”.
Một vài bước mở rộng có thể được yêu cầu thực hiện để chiếm quyền siêu người dùng để tải module nhân. Tuy nhiên, những yêu cầu này không đặc biệt khó thực hiện”, Vilaca cho biết thêm.
Vilaca cho biết ông đã kiểm thử cuộc tấn công thành công trên MacBook Pro Retina, MacBook Air và MacBook Pro 8.2 và MacBook Air. Tất cả các thiết bị này đều sử dụng phiên bản EFI mới nhất. Ngoài ra, lỗ hổng có thể bị khai thác để cài đặt EFI rootkit thông qua không chỉ Safari mà còn nhiều trình duyệt web khác.
Theo nhà nghiên cứu cách duy nhất mà người dùng có thể ngăn chặn được cuộc tấn công là không để máy tính của mình ở chế độ sleep, mà phải luôn tắt khi không sử dụng. (The Hacker News)
------------------
Một lỗ hổng mới trên máy tính Apple Mac có thể được sử dụng để chèn phần mềm độc hại (rootkit malware) vào máy tính người dùng, cho phép tin tặc kiểm soát toàn bộ hệ thống.
Nguyên nhân chính gây ra lỗ hổng zero-day này, hiện tại vẫn chưa có tên, vẫn chưa được xác định.
Có khả năng là lỗ hổng do một lỗi nằm trong chế độ tiết kiệm năng lượng của Apple. Chế độ này có thể để lại một khoảng trống của bộ nhớ trong giao diện firmware mở rộng (EFI) (cho phép truy nhập và kiểm soát phần cứng ở mức thấp) có khả năng ghi từ tài khoản người dùng trên máy tính.
Khoảng trống của bộ nhớ thường được khóa ở chế độ Chỉ đọc để bảo vệ thiết bị.
Tuy nhiên, thao tác đặt các máy tính Mac model mới ở chế độ sleep trong khoảng 20 giây sau đó bật lại sẽ mở được khóa bộ nhớ EFI để ghi.
Nhà nghiên cứu phát hiện ra lỗi này, Pedro Vilaca, cho biết lỗ hổng có thể được sử dụng để chèn rootkit hoặc mã độc từ xa bằng cách sử dụng phiên trình duyệt Safari. Hệ điều hành không phát hiện thấy các rootkit và malware này trong bộ nhớ chớp có khả năng ghi.
Vilaca cho biết: “Việc khai thác từ xa có thể dễ dàng truyền tải một đoạn dữ liệu. Đoạn dữ liệu này sẽ chờ hoặc kiểm tra xem máy đã ở chế độ sleep hay chưa và máy có lỗ hổng không; hoặc đoạn dữ liệu sẽ buộc thiết bị chuyển sang chế độ sleep và chờ resume để hoạt động”.
“Sau khi các cơ chế BIOS bị mở, mã độc có thể dễ dàng viết đè lên firmware BIOS bằng một đoạn mã nào đó có chứa rootkit EFI”.
Một vài bước mở rộng có thể được yêu cầu thực hiện để chiếm quyền siêu người dùng để tải module nhân. Tuy nhiên, những yêu cầu này không đặc biệt khó thực hiện”, Vilaca cho biết thêm.
Nguồn: iTnews
Chỉnh sửa lần cuối bởi người điều hành: