Si ya hace tiempo hablamos de un exploit capaz de hacerse con el control de cualquier Mac aunque este se hubiese formateado posteriormente o cambiado la unidad de almacenamiento, ahora sabemos que un nuevo exploit permite que hacer lo mismo pero esta vez de forma remota sin tener que acceder físicamente al equipo a través de una conexión Thunderbolt. Sin embargo no todos los equipos se ven afectados ya que solo está presente en Macs anteriores a 2014, los cuales aún no han sido actualizados para evitar este fallo.
La vulnerabilidad ha sido descubierta por el investigador de seguridad en OSX, Pedro Vilaca, en concreto se basa en un agujero de seguridad que permite reescribir ciertas partes de la BIOS justo en el momento en el que la máquina «despierta» de un estado de reposo o inactividad.
Normalmente para que esto no ocurra, los equipos están dotados de una protección conocida como FLOCKDN que previene que las aplicaciones pueda acceder a la región de la BIOS, pero por algún motivo todavía desconocida, esta protección queda inactiva justo en el instante en que el Mac vuelve de dicho estado de inactividad. Esto dejaría el camino libre para que diferentes aplicaciones puedan flashear la BIOS y modificar la interfaz de firmware (EFI).
«El fallo de seguridad puede se aprovechable mediante Safari o cualquier otro vector remoto para instalar un rootkit EFI sin acceso físico», dijo Vilaca en su blog. «El único requisito es que se produzca una suspensión del equipo dentro de la sesión que se esté utilizadando. No he investigado todavía lo suficiente pero probablemente se podría obligar al sistema a entrar en suspensión y desencadenar posteriormente el ataque. Sería un owned épico ;-)»
Una vez instalado, el código malicioso sería muy difícil de detectar o eliminar tanto como que formatear o reinstalar el sistema operativo no conseguiría nada ya que la BIOS seguiría modificada para permitir el acceso. Por desgracia, no hay mucho que los usuarios de Mac vulnerables pueden hacer para prevenir el exploit hasta que Apple lance una parche.
De todas formas Vilaca señala que los usuarios de a pie tampoco se deben preocupar en exceso ya que es más que probable que este exploit esté pensado de cara a un ataque masivo y no en equipos concretos. De momento se ha probado en un MacBook Pro Retina, un MacBook Pro 8.2 y un MacBook Air corriendo el último firmware de la EFI de Apple disponible todos ellos con éxito. Los únicos equipos no afectados son aquellos que van desde mediados hasta finales de 2014.
Sería interesante saber si este exploit puede afectar a los poseedores de equipos Hackintosh, aún así deja la seguridad de los Mac por los suelos.. lamentable.