В дополнение к исправлению трех уязвимостей, описанных на прошлой неделе Project Zero, Apple определенно готовит исправление для загрузочной атаки Thunderstrike, что предположительно должно избавить от этой проблемы все Mac, работающие под Yosemite.

По сообщениям, все уязвимости будут исправлены в Yosemite 10.10.2, следующей версии OS X, сейчас находящейся в стадии бета-версии.

Сайт новостей Apple iMore.com в пятницу сообщил, что Apple пришлось изменить код, чтобы «защитить загрузочное ПЗУ Mac не только от подмены, но и от отката до состояния, когда эта атака была возможна».

«По словам людей, имеющих доступ к последней бете OS X 10.10.2, знакомых с Thunderstrike и тем, как она работает, это действительно глубокий, многоуровневый процесс, который наконец завершен», — гласит публикация.

Предрелизное тестирование новой версии Yosemite идет уже несколько месяцев, но самая последняя бета, 10.10.2 (билд 14C106a), была отправлена пользователям в прошлый четверг.

На прошлой неделе мы узнали, что в бете также закрыты три уязвимости, до этого найденные Google Project Zero. Баги покрывали спектр от повреждения памяти до исполнения кода ядра и даже побег из сэндбокса. Впервые о них сообщили Apple в октябре, публичное раскрытие сведений от Project Zero последовало за окончанием 90-дневных окон, истекших на прошлой неделе.

Thunderstrike, не поддающийся обнаружению буткит, может распространяться посредством вредоносных устройств, подключенных к порту Thunderbolt. Подробности об эксплойте впервые были обнародованы нью-йоркским исследователем Траммелем Хадсоном (Trammel Hudson) вскоре после Нового года на Chaos Communication Congress (31C3), конференции по информационной безопасности, прошедшей в Гамбурге, Германия.

Хадсон до того предупреждал о том, что букит может сохраняться, получая root-доступ, что подвергает все данные и веб-трафик на зараженной машине риску перехвата.

Хотя Apple исправила эту проблему на своих компьютерах 2014 года Mac Mini и iMac Retina 5K, ноутбуки MacBook остаются уязвимыми для атаки откатом, по крайней мере до полного распространения патча.

В понедельник Хадсон заявил, что не нашел пока времени просмотреть бета-версию, но выразил определенный скептицизм.

Хадсон подтвердил, что версия, которую он тестировал, будучи в Гамбурге, MBP101_00EE_B06, была уязвима для все той же атаки откатом. Хадсон заявил, что он тогда продемонстрировал представителям Apple проблему, которая могла позволить злоумышленнику запустить старую прошивку, уязвимую для Thunderstrike.

Хадсон добавил, что тот же билд, B06, также был уязвим для обычной атаки на опциональное ПЗУ, что «действительно озадачило» исследователя, так как это атака того же типа, что использует Thunderstrike для вставки периферийной прошивки в EFI для заражения машины.

Это означает, что до сих пор могут присутствовать еще многие симптомы Thunderstrike.

«Пароли для доступа к микропрограмме легко обходятся, как демонстрировал Snare более двух с половиной лет назад, в boot.efi можно внедрить бэкдор и т.д.», — сказал Хадсон.

Речь об австралийском исследователе-безопаснике и пентестере Snare, к чьему исследованию обратился Хадсон, чтобы разобраться в проекте. На конференции Black Hat в 2012 году (.PDF) Snare продемонстрировал, как руткит, используя модифицированный переходник Thunderbolt-Ethernet, может отключить FileVault и манипулировать EFI машины.

Категории: Главное, Уязвимости