Una vulnerabilidad ciertos Mac podría ser utilizada para inyectar de forma remota malware en forma de rootkit persistente en los ordenadores de los usuarios, proporcionando a un atacante el control de todo el sistema, según un descubrimiento de un investigador de seguridad.
La causa exacta de esta vulnerabilidad no se ha hecho pública todavía. El problema parece que se debe a un error en la implementación del modo de suspensión en reposo que puede dejar accesibles áreas de la memoria en de firmware extensible (EFI), que proporciona un control de hardware de bajo nivel y de acceso, lo que permitiría escribir en la EFI desde una cuenta de usuario en el equipo. Estas áreas de memoria están normalmente cerradas y solo son de lectura para protegerlas.
Sin embargo, al poner ciertos modelos de Mac en reposo durante unos 20 segundos y luego despertarlos desbloquea la memoria EFI para la escritura.
El investigador que descubrió el problema, Pedro Vilaça, dijo que la vulnerabilidad puede ser usada para instalar remotamente rootkits o malware persistente que es invisible para el sistema operativo en la EFI, utilizando por ejemplo el navegador web Safari.
Este tipo de ataque, no obstante, es muy específico ya que cada Mac cuenta con una EFI muy específica, aunque un atacante podría crear tantas EFIs como modelos de Mac quisiera atacar y entregarlas a medida. Además, pueden ser necesarios algunos pasos adicionales para lograr una escalada de privilegios hasta superusuario para cargar módulos del kernel, pero eso no es especialmente complicado de hacer, dijo Vilaça.
Vilaça cree que Apple es consciente de la cuestión – sus pruebas demuestran que este problema no está presente en el firmware de Macs fabricados a partir de mediados de 2014. El investigador no ha contactado con Apple al respecto de este fallo y Apple no ha hecho comentarios al respecto.
No hay comentarios:
Publicar un comentario