Sleep mode di Mac, una vulnerabilità permette di riscrivere il firmware

Individuata una pericolosa vulnerabilità per i sistemi Mac più vecchi di un anno che permette, se opportunamente sfruttata, di andare a compromettere il firmware del sistema e portare in ultima istanza ad un controllo persistente e a basso livello della macchina attaccata, senza che una reinstallazione o una formattazione possano risolvere il problema.

La falla è stata individuata dal ricercatore di sicurezza Pablo Vilaca, il quale osserva come paiano vulnerabili tutti i Mac antecedenti alla metà del 2014 e in grado di supportare lo sleep mode. Vilaca ha individuato la possibilità di riscrivere il firmware del Mac usando una funzionalità contenuta in userland, ovvero la parte del sistema operativo dove vengono eseguite le applicazioni e i driver.

La vulnerabilità riguarda il sistema di protezione FLOCKDN che offre alle applicazioni in userland solamente un accesso di tipo read-only al firmware della macchina. Per motivi che il ricercatore non è ancora riuscito a delineare, le protezioni FLOCKDN vengono a cessare dopo che un sistema Mac viene ripreso dallo sleep mode. In questo modo il firmware è vulnerabile alle operazioni di re-flashing da parte di qualsiasi applicazione.

"Il firmware non dovrebbe essere aggiornabile da userland e vi sono determinate protezioni perché ciò non avvenga. Se un firmware è modificabile da userland è possibile inserire in esso un rootkit che sarà più pericoloso dei normali rootkit dal momento che può operare ad un livello più basso e sopravvivere alle reinstallazioni della macchina e anche agli aggiornamenti firmware" osserva Vilaca. La vulnerabilità potrebbe essere sfruttata anche da remoto, specie in combinazione con altre vulnerabilità che permettono di ottenere accesso root alle risorse di sistema.

Secondo Vilaca questa tecnica non verrà comunque sfruttata per attacchi su larga scala, ma è più verosimile che essa venga impiegata per attacchi a bersagli precisi e di alto valore, che i criminali conoscono e verso i quali nutrono particolare interesse.

Come già accennato pare che i Mac commercializzati da metà 2014 in poi siano immuni all'attacco. Non è chiaro, però, se ciò sia dovuto ad una patch rilasciata in silenzio o se la falla sia stata tappata solo casualmente. Attualmente non è possibile fare molto per prevenire questo problema, se non cambiare le impostazioni di default di OS X e disattivare completamente la modalità sleep.

"Dobbiamo iniziare a pensare in maniera differente e stabilire una catena fidata dall'hardware al software. Chiunque cerca di risolvere i problemi partendo dal software quando l'hardware è costruito su fondamenta deboli. Apple ha una grande opportunità in questa faccenda, dal momento che controlla tutta la catena dei loro prodotti. Mi auguro che comprendano e sfruttino questa opportunità" ha commentato il ricercatore.