เมื่อวันที่ 29 พฤษภาคม 2015 นักวิจัยด้านความปลอดภัย Pedro Vilaca ได้โพสต์เปิดเผยช่องโหว่ของ Mac OS X ที่ปล่อยให้ผู้ไม่ประสงค์ดีสามารถเข้ามาแฟลช BIOS และฝัง rootkit ได้ผ่านการโจมตีระยะไกล
Pedro Vilaca เล่าว่าจุดเริ่มต้นของการค้นพบนี้มาจากงาน Chaos Communication Congress (CCC) เมื่อปี ค.ศ. 2014 ที่ผ่านมา (ช่องโหว่ Thunderstrike ที่ปล่อยให้แฟลช BIOS ผ่านพอร์ต Thunderbolt ก็ถูกนำเสนอในงานนี้ด้วย) เขาสนใจหลักการการโจมตีที่นำเสนอในหัวข้อ "Attacks on UEFI security, inspired by Darth Venamis's misery and Speed Racer" โดย Rafal Wojtczuk และ Corey Kallenberg (สามารถดาวน์โหลดเปเปอร์ได้ที่นี่) ซึ่งเป็นการโจมตีผ่าน UEFI boot script table มันจึงมีศักยภาพที่จะใช้เป็นการโจมตีระยะไกล (remote exploit) ได้ ไม่จำเป็นต้องพึ่งการเข้าถึงทางกายภาพเหมือนช่องโหว่ Thunderstrike (ซึ่ง Apple ได้ออกอัพเดตเฟิร์มแวร์แก้ไขไปแล้ว)
ตามปกติแล้ว BIOS จะถูกป้องกันโดย FLOCKDN (Flash Configuration Lock-Down) ไม่ให้โปรแกรมในส่วน userland เข้าไปเขียนแก้ไขได้ สามารถอ่านได้อย่างเดียว แต่ Pedro Vilaca ค้นพบว่าเมื่อ Mac OS X ถูกปลุกจาก Sleep mode การป้องกันของ FLOCKDN จะถูกปิด ซึ่งตัวเขาเองก็ไม่เข้าใจว่าทำไม Apple ถึงออกแบบให้ระบบปฏิบัติการทำอะไรแปลกประหลาดเช่นนั้น ผลลัพธ์คือผู้ใช้ที่มีสิทธิ์ root สามารถรันสคริปต์แก้ไข BIOS ได้เลยผ่านการโจมตีระยะไกลด้วยเว็บบราวเซอร์ทั่วไป เช่น Safari และสามารถเขียนทับ UEFI ด้วย EFI ดัดแปลงที่ฝัง rootkit เอาไว้
โดยสรุป สิ่งที่ต้องการในการเรียกใช้งานช่องโหว่นี้ ได้แก่ สคริปต์แก้ไข BIOS, EFI ที่ฝัง rootkit, สิทธิ์ root, และจังหวะที่เครื่องเหยื่อเข้า Sleep mode ซึ่งสามอย่างแรกขอเพียงมีความเพียรก็สามารถหาวิธีทำได้จากเว็บไซต์ด้านความปลอดภัย ส่วนสิ่งสุดท้าย ถ้าขี้เกียจรอ ก็สามารถส่งคำสั่ง sudo pmset sleepnow
เข้าไปได้
ผลการทดสอบโดย Pedro Vilaca พบว่าช่องโหว่นี้ใช้ได้กับเครื่อง Intel-based Mac รุ่นที่ออกขายก่อนก่อนกลางปี 2014 ที่รัน Mac OS X 10.9 Mavericks และ Mac OS X 10.10 Yosemite (รุ่นที่ใช้ในการทดสอบ ได้แก่ MacBook Pro Retina, MacBook Pro 8,2 และ MacBook Air) อย่างไรก็ตามเครื่อง Mac รุ่นที่ออกหลังปลายปี 2014 เป็นต้นไป ดูเหมือนจะไม่มีช่องโหว่นี้ (Pedro Vilaca อ้างเพียงผลการรันสคริปต์ตรวจสอบเบื้องต้น เพราะเจ้าของเครื่อง Mac รุ่นใหม่ในการทดสอบนี้ไม่ยอมให้สิทธิ์ root แก่ Pedro Vilaca) ดังนั้นจึงมีความเป็นไปได้ว่า Apple เองก็ระแคะระคายถึงช่องโหว่นี้และแอบปิดไปอย่างเงียบๆ
แม้ช่องโหว่นี้ (ซึ่งยังไม่มีชื่ออย่างเป็นทางการ) จะฟังดูร้ายแรงเพราะ EFI rootkit ไม่สามารถลบได้ด้วยการฟอร์แมตฮาร์ดดิสก์ แต่ Pedro Vilaca คิดว่ามันไม่ใช่เรื่องน่ากังวลสำหรับผู้ใช้ Mac OS X ทั่วไป เนื่องจากมันต้องการสิทธิ์ root ก่อนการรันสคริปต์ที่ใช้แก้ไข BIOS ทำให้การประยุกต์ใช้โจมตีในวงกว้างทำได้ยาก การโจมตีด้วยช่องโหว่นี้ในทางปฏิบัติน่าจะเป็นการโจมตีแบบเจาะจงเป้าหมายมากกว่า
ทางเดียวสำหรับการแก้ไขปัญหานี้คือการรออัพเดตเฟิร์มแวร์จาก Apple หรือหลีกเลี่ยงการเข้าสู่ Sleep mode ไปก่อนในระยะนี้
ตัวอย่างการทดสอบช่องโหว่นี้อยู่ที่บล็อกของ Pedro Vilaca ~ https://reverse.put.as/../mac-firmware-security-is-completely-broken/
ที่มา - Ars Technica