Zero-Day permite instalación remota de Rootkits en MAC

Zero-Day permite instalación remota de Rootkits en MAC

Un investigador ha descubierto una vulnerabilidad zero day que permitiría inyectar un rootkit persistente sin que el usuario lo note.

La EFI o Extensible Firmware Interface es lo que podemos llamar el «reemplazo del BIOS». Aunque existen algunos equipos que ya están usando EFI, actualmente solo las MAC’s lo traen por defecto, y, como podrás imaginar, es una zona crítica del sistema y debe estar protegida.

Se supone que esto es así, y que esta región de la memoria es de solo lectura, pero un investigador de seguridad llamado Pedro Vilaça ha descubierto que, cuando la MAC «despierta» del modo de ahorro de energía, algunas áreas de memoria en el EFI quedan desprotegidas y es posible sobrescribirlas desde la cuenta de usuario.

La EFI provee acceso y control de hardware a bajo nivel, por lo que puede ser usada para plantar un rootkit o cualquier otro tipo de malware persistente de manera remota y este será invisible al sistema operativo y no se eliminaría inclusive después de un formato de disco o reinstalación del sistema operativo, ya que estaría alojado en el EFI.

Según el investigador, un atacante podría crear un payload que verifique si la maquina es vulnerable y si está activado el modo de ahorro de energía usando como vector de ataque como Safari, luego forzar entrar en modo suspensión y esperar que el usuario reactive el equipo para infectarlo. Al estar el EFI desbloqueado para escritura, se puede sobrescribir el EFI con algo que contenga un Rootkit y el equipo estaría infectado al nivel más bajo posible.

El investigador realizó las pruebas en un MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air y pudo acceder al EFI exitosamente, sin embargo, las MAC’s más recientes parecen no ser vulnerables, por lo que supone que Apple ya conocía el bug y lo corrigió en sus nuevos modelos.

Quizás te interese:   Wordpress 4.2 y anteriores vulnerables a XSS

Por ahora, el único medio de protección que tienen los usuarios es desactivar el modo de suspensión. Aunque el investigador reconoce que es un exploit que no puede ser aprovechado en masa, si no algo más dirigido dada la complejidad de las condiciones necesarias para tener un ataque exitoso.

Fuente: SlashDot

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.