Une faille dans le micrologiciel permet d’introduire un rootkit sous OS X

Le micrologiciel de nombreux ordinateurs portables d’Apple contient une vulnérabilité qui pourrait permettre à un individu malintentionné d’écraser le BIOS et d’installer un rootkit pour prendre les commandes du Mac.

La vulnérabilité se situe dans l’UEFI de certains anciens MacBook. Le chercheur Pedro Vilaca a découvert que lorsque le MacBook est réveillé, le micrologiciel de bas niveau demeure dans l’état déverrouillé.

« La question se pose : quelles pourraient être les conséquences ? » écrit Pedro Vilaca dans son explication de la vulnérabilité et de l’attaque. « Le risque encouru est une réécriture du contenu du BIOS depuis l’espace utilisateur et l’insertion d’un rootkit dans l’ESI en utilisant simplement un cycle « veille – réveil », une extension du noyau, la flashrom et un accès root. »

Ce genre d’attaque ressemble à l’attaque Thunderstrike découverte à la fin de l’année dernière. A l’époque, dans le cadre de son expérience, le chercheur avait été en mesure d’installer un bootkit via un périphérique connecté grâce à la technologie Thunderbolt. Lors de l’attaque de preuve de concept, Trammel Hudson avait réussi à introduire un malware qui avait pu survivre à la réinstallation du système d’exploitation, à l’instar de celui créé par Pedro Vilaca.

« Comme il s’agit du premier bootkit pour micrologiciel de périphériques tournant sous OS X, les scanneurs ne le détectent pas encore » écrivait Trammel Hudson au mois de janvier dans le rapport sur sa présentation. « Le bootkit commande le système dès la première instruction, ce qui lui permet d’enregistrer les frappes au clavier et les clés de chiffrement des disques, d’introduire des portes dérobées dans le noyau OS X et de contourner la protection par mot de passe du micrologiciel. Le bootkit ne peut être supprimé par des méthodes logicielles car il contrôle les clés de signature et les programmes de mise à jour. La réinstallation d’OS X ne permet pas non plus de s’en débarrasser. Le remplacement du disque SSD ne sert à rien non plus car rien n’est enregistré sur celui-ci. »

Dans un e-mail envoyé à Threatpost, Pedro Vilaca signale que le problème qu’il a découvert est plus grave que Thunderstrike. « Tout individu qui a été en mesure de réaliser des attaques semblables à Thunderstrike pourra exploiter cette faille avec un minimum d’efforts » a-t-il expliqué aux journalistes de Threatpost. « L’effet est plus puissant qu’avec Thunderstrike car il ouvre la porte aux attaques à distance tandis que Thunderstrike n’est applicable que localement, avec un contact physique avec le périphérique attaqué. »

Au cours de son analyse, Pedro Vilaca a organisé des attaques d’essai sur un MacBook Pro Retina, un MacBook Pro 8.2 et un MacBook Air qui possédaient chacun la version la plus récente d’EFI. Ces expériences ont confirmé ses conclusions sur la possibilité d’organiser une attaque à distance. « Ce bogue peut être utilisé avec Safari ou un autre vecteur d’attaque à distance dans le but d’installer un rootkit EFI sans contact physique avec le périphérique » peut-on lire dans le rapport de l’expert. La seule condition : le périphérique doit entrer en mode veille pendant la session. Bien que je ne l’ai pas tenté moi-même, je pense qu’il est possible de forcer l’ordinateur à passer au mode veille et de lancer l’exploitation à distance. Ce serait une prise de contrôle phénoménale. »

D’après Pedro Vilaca, il est probable qu’Apple connaisse cette vulnérabilité car elle n’apparaît pas dans les périphériques vendus après la mi 2014. « Je pense qu’Apple a un problème dans son attitude vis-à-vis de la sécurité (comme Microsoft il y a de nombreuses années) et ils ne réagissent que lorsqu’ils sont dans les cordes » estime l’expert. « S’ils étaient au courant de l’existence du bogue, et son absence sur les périphériques plus récents ne peut être une coïncidence, ils ne souhaitent tout simplement pas corriger les anciennes versions.

C’est une mauvaise politique et s’il s’agit de la politique qu’ils veulent suivre, ils pourraient au moins signaler les problèmes aux clients. Ces derniers pourraient ainsi prendre des décisions informées sur les risques. On peut toujours rêver car il est fort peu probable qu’ils se mettent en difficulté en dévoilant ce genre d’information. Mais la discussion sur les défauts des politiques d’entreprise à l’heure actuelle est presque philosophique. »

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *