MacBookのEFIにThunderbolt経由でブートキットが感染し検知や削除不能＆ウイルス拡散もされてしまう脆弱性が発見される

AppleのEFIにThunderboltポート経由でブートキットに感染する脆弱性が発見されました。ブートキットがインストールされてしまったデバイスからはエア・ギャップを通じてウイルスが拡散されることが報告されています。

EFI - Trammell Hudson's Projects
https://trmm.net/EFI

AppleのEFIに関する脆弱性を報告しているのはエンジニアのトラメル・ハドソン氏で、2014年12月27日から行われるエンジニア・カンファレンス31C3でEFIをブートしているMacbookを使ってこの脆弱性を実証するデモンストレーションを予定しています。

ハドソン氏によると、EFIの脆弱性によってThunderboltで接続するストレージなどのデバイスからブートキットに感染させられる恐れがあり、一度PCにインストールされたブートキットはセキュリティソフトによる検知や削除を防ぐことができるほか、HDDの交換やOSの再インストールを実施しても取り除くことはできないとのこと。

アタッカーはウイルスに感染したマシンのSPIフラッシュROMに対して不正なコードの書き込みを行うことができ、MacBookのシステム内に新しいクラスのファームウェアブートキットを作成します。不正なコードがROMに書き込まれた後は、システムを優先的にコントロールできるようになるとのこと。ハドソン氏はブートキットがROM内に置かれているAppleのRSA暗号鍵を不正な秘密鍵を置き換えることで、他のソフトウェアからの削除を防止していることを確認しています。

この脆弱性は数バイトのパッチをファームウェアに適用するだけで対処できるとのことですが、今のところ修正パッチは公開されていません。感染させられたファームウェアを復元する唯一の方法は、In-System Programmingデバイスを使うことのみとのことです。