En début d'année, Apple a corrigé avec la publication d'OS X 10.10.2 une attaque baptisée Thunderstrike et permettant la propagation d'un bootkit par le biais d'appareils malveillants connectés au port Thunderbolt. Une nouvelle vulnérabilité non corrigée fait désormais parler d'elle.
Elle a été divulguée à la fin du mois de mai par le chercheur en sécurité Pedro Vilaca et confirmée la semaine dernière par Symantec qui parle d'une faille permettant à des attaquants d'installer un rootkit pouvant survivre à un reformatage du disque dur. C'est un peu le but d'un rootkit...
En exploitant ladite vulnérabilité, un attaquant peut flasher de nouveau le firmware d'un ordinateur Mac afin d'installer un malware de type rootkit. Elle se situe au niveau de l'EFI (Extensible Firmware Interface).
Si cette faille est associée à un autre exploit fournissant un accès root, Symantec évoque la possibilité d'une exploitation à distance. Le cas échéant, une condition obligatoire est que l'ordinateur soit en veille.
Même si la vulnérabilité est considérée critique, il n'y a pas d'exploit dans la nature pour le moment. Par ailleurs, la mécanique de l'exploitation à distance minore le niveau d'alerte. Cela étant et dans l'attente d'un correctif d'Apple, les plus inquiets peuvent prendre l'habitude d'éteindre leur ordinateur Mac plutôt que le mettre en veille.
Symantec a testé avec succès la faisabilité d'une exploitation avec le Mac Mini 5.1 et MacBook Pro 9.2, tandis que le MackBook Pro 11.3 et MacBook Air 6.2 ne sont pas affectés. Pedro Vilaca a vérifié la vulnérabilité du MacBook Pro Retina 10.1, MacBook Pro 8.2, MacBook Air 5.1 et Mac Pro 9.1. Et ce avec les dernières versions de firmware.
