MacBookのEFIにThunderbolt経由でブートキットが感染し検知や削除不能&ウイルス拡散もされてしまう脆弱性が発見される


AppleのEFIにThunderboltポート経由でブートキットに感染する脆弱性が発見されました。ブートキットがインストールされてしまったデバイスからはエア・ギャップを通じてウイルスが拡散されることが報告されています。

EFI - Trammell Hudson's Projects
https://trmm.net/EFI


AppleのEFIに関する脆弱性を報告しているのはエンジニアのトラメル・ハドソン氏で、2014年12月27日から行われるエンジニア・カンファレンス31C3でEFIをブートしているMacbookを使ってこの脆弱性を実証するデモンストレーションを予定しています。

ハドソン氏によると、EFIの脆弱性によってThunderboltで接続するストレージなどのデバイスからブートキットに感染させられる恐れがあり、一度PCにインストールされたブートキットはセキュリティソフトによる検知や削除を防ぐことができるほか、HDDの交換やOSの再インストールを実施しても取り除くことはできないとのこと。


アタッカーはウイルスに感染したマシンのSPIフラッシュROMに対して不正なコードの書き込みを行うことができ、MacBookのシステム内に新しいクラスのファームウェアブートキットを作成します。不正なコードがROMに書き込まれた後は、システムを優先的にコントロールできるようになるとのこと。ハドソン氏はブートキットがROM内に置かれているAppleのRSA暗号鍵を不正な秘密鍵を置き換えることで、他のソフトウェアからの削除を防止していることを確認しています。

この脆弱性は数バイトのパッチをファームウェアに適用するだけで対処できるとのことですが、今のところ修正パッチは公開されていません。感染させられたファームウェアを復元する唯一の方法は、In-System Programmingデバイスを使うことのみとのことです。

・関連記事
不可聴音を発してユーザーが気づかないうちにデータを抜き取るマルウェア - GIGAZINE

BIOSやファームウェアに感染してハードウェアに検知不能なバックドアを作る「ラクシャーサ」とは? - GIGAZINE

USBに設計上の致命的な脆弱性が発見され、そのコードが公開される - GIGAZINE

Seagate製ハードディスクのファームウェアに致命的な不具合、起動不能・アクセス不能になることが判明 - GIGAZINE

337

in ソフトウェア, Posted by darkhorse_log