记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Mac 0day漏洞 能使电脑轻易感染rootkit

2015-06-03 23:15

mac0day

安全研究人员发现很多Mac固件中存在一个0day漏洞,以至于很轻易地就能安装EFI rootkit。

近日,国外安全研究员Pedro Vilaça 在苹果Mac系统中发现了一个低级0day漏洞:特权用户利用该漏洞可以轻易地安装EFI rootkit。

Vilaça解释说,这次的攻击与安全专家Trammell Hudson之前演示的攻击没有任何关联,当时Hudson发现的是一种名为“Thunderstrike”的技术,利用该技术可以通过Thunderbolt端口使苹果的Mac电脑感染EFI bootkit。而这次由Vilaça发现的0day漏洞则完全不同,它利用了在Mac电脑进入睡眠模式时flash保护未锁定这一特点。

“苹果的S3挂起-恢复实现方式是如此的糟糕,在一个挂起-恢复周期之后竟然未锁定flash保护。这意味着:除了一个挂起-恢复周期、内核扩展、flashrom和root权限,不用其他任何技巧,你就可以通过rootkit EFI覆写BIOS的内容。”

专家解释说:通过该漏洞,使用远程向量安装一个EFI rootkit相当容易。因为当Mac电脑进入30秒的睡眠状态时flash锁定会被移除。

“这个漏洞在不通过物理接触目标机器的情况下,可以通过Safari或其他远程向量利用该漏洞安装EFI rootkit,前提是当前会话被挂起。你也可以通过远程方式强制挂起发生并触发它。另外,利用该漏洞并不需要物理接触目标电脑,你可以利用指令‘sudo pmset sleepnow’触发睡眠,接着你只需要等待电脑从睡眠状态恢复,然后继续利用该漏洞。”

在这期间,攻击者可以更新闪存存储器:flash ROM内存中的内容,包括EFI二进制文件、rom存储器。

MacBook Pro Retina、MacBook Pro和MacBook Air等运行最新EFI固件更新的电脑型号都受到这个0day漏洞影响。

Vilaça认为苹果公司应该已经意识到了这个0day漏洞,并已经对一些模块打了必要的补丁。

“下载DarwinDumper并加载DirectHW.kext内核扩展。然后就可以通过指令‘flashrom -r biosdump -V -p internal’使用flashrom来转储BIOS并显示寄存器内容。此外,你也可以自己编译DirectHW.kext和flashrom。DarwinDumper可以直接使用,并且它的kext模块似乎是合法的(因为它在苹果的排除清单中,所以至少苹果信任它)。”

对于这个漏洞可以通过下面的检测工具来进行检测:

http://d40716.l65.yunpan.cn/lk/cwkYfec7I7WVp  提取码:d7de

相关阅读:

通过thunderbolt口感染MAC,种植bootkit

知识来源: www.ijiandao.com/safe/it/13994.html

阅读:96035 | 评论:0 | 标签:业界 0day mac 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“Mac 0day漏洞 能使电脑轻易感染rootkit”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云