Брешь позволяет установить буткит в ПЗУ начальной загрузки популярных ноубуков MacBook.
Программист Трэммэл Хадсон (Trammell Hudson) сообщил об уязвимости в прошивке Apple EFI, позволяющей установить вредоносное ПО в ПЗУ начальной загрузки популярных ноутбуков MacBook.
По словам специалиста, злоумышленники могут легко установить буткит, воспользовавшись разъемами Thunderbolt. Стоит отметить, что буткит не удаляется при переустановке Мас OS X, так же как и смене жестких дисков. После установки вредоносная программа предотвращает попытки программного обеспечения устройства удалить ее и может инфицировать другие девайсы, оснащенные портом Thunderbolt.
Хадсон отмечает, что загрузочное ПЗУ можно использовать для обхода проверки криптографической подписи в обновлениях прошивки. Это позволяет злоумышленнику, у которого есть физический доступ к машине, написать ненадежный код для микросхемы SPI flash ROM на материнской плате и создать новый класс буткитов для систем Мас.
При загрузке прошивки не осуществляется криптографическая проверка аппаратного и программного обеспечения, что дает буткиту возможность с легкостью проникнуть в систему и получить контроль над ней. Вредоносная программа может использовать SMM, виртуализацию и другие техники для сокрытия от обнаружения.
От классики до авангарда — наука во всех жанрах