was successfully added to your cart.
蘋果資安

實作 Apple Macbook EFI 軔體漏洞寫入破解

By 2016-06-29 No Comments
研究人員爆Macbook漏洞:可讓駭客遠端改寫BIOS植入木馬
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-completely-broken/
以上安全報告再說Apple 的EFI  write protect 進入S2(睡眠模式)後就可解除防寫保護.說真的挺嚇人的,因為光官方 Apple 綁定EFI  bios 防寫區 這塊有二大應用.一般不具程式經驗人也可操作.
1.Find My computer ,贓物機序號會鎖定,如同iphone一樣.這樣就可以修改機器序號回寫.
2.Apple 官方維修中心則是用AST(Apple Service Toolkit) 會連回GSX Server,主機板更換後,對全新主機板ROM 安全區寫入序號,只能寫一次.

(os x 10.12 Sieera 已經防堵 DirectHW 讀取EEPROM)

“非官方”則在做EFI的rootkit應用. 就不論是重灌OS X或是替換硬碟都無法清除.來看一下是怎回事brew 編譯的flashrom版本有問題  只好自己編譯
沒brew的先安裝brew 請自己google一下
brew install flashrom
brew uninstall flashrom   解除安裝不能正常工作版  這樣就有flashrom需要的lib 下載我已編譯好的FW 工具包 http://0rz.tw/8feFX (link 失效)
內有 DirectHW.img pciutils-3.1.7.img  跟flashrom 主程序 解壓縮二個img跟安裝
安裝完後跑載入driver
sudo kextload /System/Library/Extensions/DirectHW.kext
這時flashrom 程式應該可以工作
先下一次 這個指令
sudo ./flashrom  -p internal -r “Dump rom 檔名”
然後之後的會顯示對應IC 如Macbook Air 2013 Late 就MX25L6405 SPI ROM,要用 -c 指定SPI ROM
sudo ./flashrom  -p internal -r mbp-late-2013.bin -c MX25L6405
當休眠過再輸入一次指令,沒顯示read-only,就代表MAC EFI ROM已經任你魚肉了可寫入.請參考圖

 

4903238
有防寫區保護

 

5050498_orig
進入S2睡眠狀態再喚醒檢查過後 ,寫入保護就失效了.
以下列出OSSLasb測試成功跟失敗電腦 有空會慢慢更新清單.
成功
MBA 2011  13″  SMC :1.73f66
失敗
MBA 2013  13″  SMC :2.13f15

當然你用SPI 編程器做硬體寫入或是thunderbolt(也是不能太新FW) 漏洞,寫入EFI BIOS安全區還是行的,只是要在必需實體接觸跟短時間內辦到不容易.

thx

Author thx

More posts by thx

Leave a Reply