Si tenéis un Mac con más de un año de antigüedad sabed que un atacante remoto aprovechando cualquier vulnerabilidad que le permitiese elevación de privilegios podría sobreescribir vuestro firmware controlando vuestra máquina desde el arranque. Totalmente a salvo de antivirus, formateos, cambio de discos duros...
El problema detectado por el investigador Pedro Vilaca, lo causa el modo de suspensión y la protección FLOCKDN. FLOCKDN controla que el acceso a la BIOS en modo usuario sea solamente en modo lectura con lo que se previene que cualquier aplicación pueda sobreescribirla. El problema surge cuando se activa el modo de suspensión, en ese momento la protección FLOCKDN se desactiva! dejando la BIOS totalmente abierta a un atacante. En ese momento un atacante puede modificar la EFI (extensible firmware interface) responsable de la gestión del sistema y del arranque de otras funciones de bajo nivel antes de la carga del sistema operativo en si mismo.
La gravedad de esta vulnerabilidad se acrecenta aún más debido a que puede ser explotada en remoto a diferencia de la última gran vulnerabilidad de Apple (Thunderstrike), por lo que un atacante remoto que consigue elevación de privilegios a través de una tercera vulnerabilidad podría forzar el modo suspensión de nuestro Mac y posteriormente sobreescribir el firmware. Con lo cual podría plantar cualquier tipo de instrucciones, backdoor... de manera totalmente trasparente al usuario y resistente a cualquier formateo o cambio de disco duro.
Al parecer los Macs posteriores a Q2 2014 parecen no sufrir esta vulnerabilidad aunque en ningún momento se ha hecho público por parte de Apple la existencia de ningún parche para esta vulnerabilidad específica. Para el resto de usuarios de Mac, por el momento la única "solución" es deshabilitar el modo de suspensión. Aunque ya están surgiendo aplicaciones para comparar nuestro firmware con el oficial de Apple para al menos ser conscientes de si hemos sido hackeados o no.
Fuente Pedro Vilaca
