Vulnerabilidade grave deixa Macs expostos ao cair em modo de "Repouso"

Um pesquisador de segurança especializado em OS X divulgou uma vulnerabilidade que afeta Macs vendidos antes da metade de 2014. Explorando essa brecha, invasores podem reescrever o firmware que inicializa a máquina e controlá-la a partir daí.

A vulnerabilidade, encontrada por Pedro Vilaca, aparece quando os Macs voltam do modo "Repouso". Neste momento, uma proteção da BIOS conhecida como FLOCKDN é desativada, por motivos ainda desconhecidos pelo pesquisador. Isso permite que apps consigam reescrever o firmware, em um processo conhecido como reflashing.  A partir deste ponto, um invasor pode injetar código malicioso de ampla atuação, já que o firmware administra processos anteriores ao carregamento do sistema operacional. Isso faz o bug resistente a reinstalações e formatações.

Para conseguir explorar a vulnerabilidade, é preciso ter acesso root ao sistema, mas isso também pode ser contornado, apesar de dificultar sua propagação. Como esse ataque pode ser realizado sem acesso físico ao computador, um invasor poderia executá-lo remotamente.

"O bug pode ser usado com o Safari ou outro vetor remoto para instalar um rootkit sem o acesso físico", escreve Vilaca em seu blog. "O único requerimento é que uma suspensão ocorra na sessão atual. Eu não pesquisei, mas você provavelmente poderia forçar essa suspensão e acionar isso, tudo remotamente."

O pesquisador testou o ataque em um MacBook Pro Retina, em um MacBook Pro 8.2 e em um MacBook Air. Ainda segundo Vilaca, máquinas vendidas depois de 2014 parecem estar imunes à falha. A Apple ainda não se pronunciou sobre o caso.

Fonte: Ars Technica