Los equipos Mac de más de un año son vulnerables a ataques que permiten sobrescribir remotamente el firmware con el que arranca la máquina, un exploit que permite controlar dispositivos vulnerables desde la primera instrucción.
El ataque, de acuerdo con una entrada de blog publicada el viernes por el conocido investigador de seguridad de OS X Pedro Vilaca, afecta a Macs enviados antes de mediados del 2014 que pueden entrar en modo de suspensión. Concretamente la protección conocida como FLOCKDN, que controla que el acceso de las aplicaciones en modo usuario a la BIOS sea sólo de lectura, se desactiva cuando la máquina se recupera del modo de suspensión. Esto deja el firmware abierto a que cualquier aplicación pueda reescribir o flashear la BIOS y, por lo tanto, que los atacantes puedan modificar el Interfaz Extensible del Firmware (EFI) que es el que controla el arranque del sistema y otras funciones de bajo nivel antes de cargar el sistema operativo.
Gracias a este fallo y mediante la explotación de vulnerabilidades que permitan elevar privilegios como root (como
las que se encuentran regularmente en Safari y otros navegadores web),
se podría ejecutar código para forzar al equipo a entrar en modo
suspensión para luego lanzar un payload en la recuperación, dejando un
firmware malicioso que sobrevive incluso al formateo del disco duro y a
la reinstalación del sistema operativo.
El ataque es más grave que el exploit Thunderstrike
que salió a la luz a finales del año pasado. Si bien ambos dan a los
atacantes el mismo control persistente a nivel bajo de un Mac, el nuevo
ataque no requiere acceso físico...
Pedro Vilaca ha confirmado
que el exploit funciona en un MacBook Pro Retina, un MacBook Pro 8.2 y
un MacBook Air, todos con la última versión del firmware EFI de Apple.
Sin embargo, los Macs desde mediados a finales de 2014 parecen ser
inmunes a los ataques. No se sabe si Apple parcheó la vulnerabilidad
silenciosamente en máquinas más nuevas o si se corrigió de casualidad.
Por el momento, la única manera de prevenir ataques es cambiar la configuración de OS X por defecto desactivando el modo de suspensión.