苹果Mac固件中的0day漏洞可易装EFI rootkit

近期，网络安全专家Pedro Vilaca在苹果Mac系统中发现了一个低级0day漏洞，特权用户利用该漏洞可以轻易地安装EFI rootkit。

Vilaca解释说，这次的攻击与安全专家Trammell Hudson之前演示的攻击没有任何关联，当时Hudson发现的是一种名为“Thunderstrike”的技术，利用该技术可以通过Thunderbolt端口使苹果的Mac电脑感染EFI bootkit（FreeBuf相关报道）。而这次由Vila?a发现的0day漏洞则完全不同，当Mac电脑进入睡眠模式时，它利用了flash保护未锁定这一特点。

“不得不说，苹果的S3挂起-恢复实现方式是如此的糟糕，在一个挂起-恢复周期之后，他们竟然未锁定flash保护。这意味着，除了一个挂起-恢复周期、内核扩展、flashrom和root权限，不用其他任何技巧，你就可以从用户态和rootkit EFI覆写BIOS的内容。”

网络安全专家还解释说，通过该漏洞，使用远程向量安装一个EFI rootkit相当容易。这是有可能的，因为当Mac电脑进入30秒的睡眠状态时，flash锁就会被移除。

“在无需物理接触目标机器的情况下，可以通过Safari或其他远程向量利用该漏洞安装EFI rootkit，前提是当前会话被挂起。你也可以通过远程方式强制挂起发生并触发它。另外，为了利用该漏洞，物理接触是必需的吗？答案是否定的，利用该漏洞并不需要物理接触目标电脑，你可以利用指令‘sudo pmset sleepnow’触发睡眠，接着你只需要等待电脑从睡眠状态恢复，然后继续利用该漏洞。”

在这段时间，攻击者可以更新闪存存储器（flash ROM）内存中的内容，包括EFI二进制文件、rom存储器。

MacBook Pro Retina、MacBook Pro和MacBook Air等运行最新EFI固件更新的电脑型号都受此0day漏洞影响。然而，需要注意的是，并非所有上面所提系统都受此漏洞影响，Vila?a推测苹果公司应该已经意识到了这个0day漏洞，并已经对一些模块打了必要的补丁。

此外，该网络安全研究者还提供了有关测试该漏洞的指导意见，即通过比较用户机器的固件和他整理的图像存档。

“下载DarwinDumper并加载DirectHW.kext内核扩展。然后就可以通过指令‘flashrom -r biosdump -V -p internal’使用flashrom来转储BIOS并显示寄存器内容。此外，你也可以自己编译DirectHW.kext和flashrom。DarwinDumper可以直接使用，并且它的kext模块似乎是合法的（因为它在苹果的排除清单中，所以至少苹果信任它）。”