El ataque, de acuerdo con una entrada de blog publicada el viernes por el conocido investigador de seguridad de OS X Pedro Vilaca, afecta a Macs enviados antes de mediados del 2014 que pueden entrar en modo de suspensión. Concretamente la protección conocida como FLOCKDN, que controla que el acceso de las aplicaciones en modo usuario a la BIOS sea sólo de lectura, se desactiva cuando la máquina se recupera del modo de suspensión. Esto deja el firmware abierto a que cualquier aplicación pueda reescribir o flashear la BIOS y, por lo tanto, que los atacantes puedan modificar el Interfaz Extensible del Firmware (EFI) que es el que controla el arranque del sistema y otras funciones de bajo nivel antes de cargar el sistema operativo.
Gracias a este fallo y mediante la explotación de vulnerabilidades que permitan elevar privilegios como root (como las que se encuentran regularmente en Safari y otros navegadores web), se podría ejecutar código para forzar al equipo a entrar en modo suspensión para luego lanzar un payload en la recuperación, dejando un firmware malicioso que sobrevive incluso al formateo del disco duro y a la reinstalación del sistema operativo.
El ataque es más grave que el exploit Thunderstrike que salió a la luz a finales del año pasado. Si bien ambos dan a los atacantes el mismo control persistente a nivel bajo de un Mac, el nuevo ataque no requiere acceso físico...
Pedro Vilaca ha confirmado que el exploit funciona en un MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air, todos con la última versión del firmware EFI de Apple. Sin embargo, los Macs desde mediados a finales de 2014 parecen ser inmunes a los ataques. No se sabe si Apple parcheó la vulnerabilidad silenciosamente en máquinas más nuevas o si se corrigió de casualidad.
Por el momento, la única manera de prevenir ataques es cambiar la configuración de OS X por defecto desactivando el modo de suspensión.
