Faille dangereuse dans l'EFI.

subsole

subsole

Membre vénérable
Club iGen
16 Octobre 2010
11 183
3 522
Ce n'est pas une nouveauté puisqu’elle est connue depuis 2012, mais des chercheurs l'ont exploitée.
Cette faille permet écrire du "code non fiable" sur la mémoire flash SPI de la CM.
Pour cela, on passe par l'intermédiaire de périphériques Thunderbolt infectés (faille de sécurité qui permet de passer outre les sécurités des Thunderbolt). :siffle:

En bref, écrire dans l'EFI permet de changer les sécurités originales mises en place par Apple, avec une impossibilité de MàJ future de l' EFI , (donc impossibilité de combler la faille) .
En effet, il n'y a aucune vérification (matériel ou logiciel) au moment du démarrage du firmware, donc une fois que le code malveillant a été flashé, il contrôle le système dès la première instruction., indétectable :rateau:

Alors Mr Apple on fait quoi ?

Pour plus de précisions, voir la source ===> https://trmm.net/EFI
 
Cela dit il faut un accès physique à la bécane si j'ai bien compris. Du coup je ne me sens guère concerné car si c'est le cas, le dit accès physique se transformera, en ce qui me concerne, par plus d'accès physique pour moi, utilisateur lambda : le mec sera parti avec le matos...

Par contre pour les machines pros et surtout les serveurs, la effectivement ça craint. La backdoor dans l'EFI c'est imparable.
[mode NSA on]S'il n'y en a pas déjà une[/mode]
 
Romuald a dit:
Cela dit il faut un accès physique à la bécane si j'ai bien compris. Du coup je ne me sens guère concerné car si c'est le cas, le dit accès physique se transformera, en ce qui me concerne, par plus d'accès physique pour moi, utilisateur lambda : le mec sera parti avec le matos...
Cliquez pour agrandir...
The bootkit can be easily installed by an evil-maid via the externally accessible Thunderbolt ports and can survive reinstallation of OSX as well as hard drive replacements. Once installed, it can prevent software attempts to remove it and could spread virally across air-gaps by infecting additional Thunderbolt devices.

Je crois comprendre qu'il faut un accès à un port Thunderbolt, et qu'ensuite il pourrait s'étendre de façon virale …….


Romuald a dit:
Par contre pour les machines pros et surtout les serveurs, la effectivement ça craint. La backdoor dans l'EFI c'est imparable.
[mode NSA on]S'il n'y en a pas déjà une[/mode]
Cliquez pour agrandir...
Surtout qu'une partie du problème pourrait être résolu avec un patch de quelque octets.

"While the two year old Thunderbolt Option ROM vulnerability that this attack uses can be closed with a few byte patch to the firmware, the larger issue of Apple's EFI firmware security and secure booting without trusted hardware is more difficult to fix".
 
subsole a dit:
The bootkit can be easily installed by an evil-maid via the externally accessible Thunderbolt ports and can survive reinstallation of OSX as well as hard drive replacements. Once installed, it can prevent software attempts to remove it and could spread virally across air-gaps by infecting additional Thunderbolt devices.

Je crois comprendre qu'il faut un accès à un port Thunderbolt, et qu'ensuite il pourrait s'étendre de façon virale …….
Cliquez pour agrandir...
Oui, par ouifi via des périphériques thunderbolt. Ca reste quand même assez limité pour des particuliers.
 
Rectification : ça peut se propager via des périphériques TB vérolés. Tu achètes un machin thunderbolt chinois à pas cher mais pourri de l'intérieur, et hop t'es piégé, l'accès physique c'est toi qui le fais.
 
Exact. Il faut pourtant bien faire confiance à quelqu'un... (parce que même dans les trucs Thunderbolt chers, rien ne te dit qu'une agence bien intentionnée n'a pas obligé le vendeur à mettre quelque chose de sournois).
 
Romuald a dit:
Rectification : ça peut se propager via des périphériques TB vérolés. Tu achètes un machin thunderbolt chinois à pas cher mais pourri de l'intérieur, et hop t'es piégé, l'accès physique c'est toi qui le fais.
Cliquez pour agrandir...

Où alors tu travailles dans une entreprise, avec des mac (plus rare mais bon), tu branches ton truc infecté sur ton mac, sur le mac de l'entreprise et hop. :siffle::D

L'effet clef USB.
 
Je n'avais pas tout lu.

Can you use the same technique to replace the modified boot ROM with a clean copy? You can't use Thunderstrike to remove Thunderstrike. In effect it closes the door behind itself: the proof-of-concept patches the Option ROM vulnerability as part of replacing the boot ROM. Thus a machine infected by the proof-of-concept is no longer vulnerable to itself.
Cliquez pour agrandir...
En clair, la vérole comble la "faille" qu'elle vient d'exploiter ! :style: C'est drôle non ? :mouais:
Alors Mr Apple on a un modèle de se qu'il vous faudrait faire depuis plus de deux ans !?! mon sentiment est que cette faille n'est pas là par hasard.

:p La bonne nouvelle d'après moi, la vérole devient détectable :
Test de la faille => Si le résultat = "Pas de faille" le Mac est infecté.
 

Sujets similaires

foxxy
MacBook Pro MacBook Pro 2014 très lent
Réponses
8
Affichages
4K
Mac
foxxy
foxxy
P
10.14 Mojave MacBook Pro, mi-2014/EtreCheck Pro/Lenteurs
Réponses
12
Affichages
2K
macOS
pipobimbo62
P
Mr-Kimita
10.15 Catalina Mise à jour mineure impossible pour catalina "I-mac 2017"
Réponses
5
Affichages
4K
macOS
Sly54
Sly54
KarineN
10.13 High Sierra Ralentissements majeurs avec quelques applis simultanées
Réponses
17
Affichages
2K
macOS
Sly54
Sly54
A
MacBook Pro RAM consommée + Lenteur
Réponses
12
Affichages
2K
Mac
Sly54
Sly54
Haut Bas