image

Symantec bevestigt firmware-lek in Mac-computers

zondag 7 juni 2015, 12:59 door Redactie, 12 reacties

Symantec heeft bevestigd dat er inderdaad een kwetsbaarheid in de firmware van de meeste Mac-computers aanwezig is waardoor een aanvaller een rootkit zou kunnen installeren om persistente roottoegang tot de computer te krijgen. Deze week onthulde onderzoeker Pedro Vilaca de kwetsbaarheid in de EFI-firmware.

Het probleem, dat niet in de nieuwste modellen van Apple aanwezig is, ontstaat als de computer uit zijn slaapstand wordt gehaald, waardoor een gebruiker toegang tot de firmware kan krijgen. De kwetsbaarheid is zowel lokaal als via internet te gebruiken. Voor deze laatste aanval zou een aanvaller echter over een tweede kwetsbaarheid moeten beschikken die roottoegang biedt. "Hoewel dit soort kwetsbaarheden niet wijdverbreid is, komen ze van tijd tot tijd wel voor", aldus Symantec.

Het anti-virusbedrijf stelt dat het om een kritieke kwetsbaarheid gaat, aangezien het een aanvaller persistente roottoegang kan geven die zelfs het wissen van de harde schijf of het opnieuw installeren van het besturingssysteem kan overleven. Symantec merkt op dat er nog geen aanvallen in het wild zijn waargenomen, maar waarschuwt dat de kans op aanvallen toeneemt naarmate het nieuws over het lek zich verspreidt.

Totdat er een update beschikbaar is krijgen gebruikers die denken risico te lopen het advies om hun computer volledig uit te schakelen in plaats van de slaapstand te gebruiken. Daarnaast wordt geadviseerd om alle software volledig up-to-date te houden, aangezien er een tweede lek nodig is om de firmware-kwetsbaarheid via internet aan te vallen. De kwetsbaarheid is bevestigd in de Mac Mini 5.1, MacBook Pro 8.2, 9.1 en 9.2, MacBook Pro Retina 10.1 en MacBook Air 5.1. De MacBook Pro 11.3 en MacBook Air 6.2 zouden niet kwetsbaar zijn.

Reacties (12)
07-06-2015, 14:28 door Anoniem
Parasiteren op publiciteit door Symantec ?

- Het echte nieuws is al gebracht door de ontdekker zelf Pedro Vilaca
https://reverse.put.as/2015/05/29/the-empire-strikes-back-apple-how-your-mac-firmware-security-is-completely-broken/

- Wat is de bedoeling van Symantec?
Aangeven dat nu Symantec het trucje heeft gekopieerd, nagedaan en ook geconstateerd heeft (na vele andere gebruikers in hetzelfde Pedro blog) het bericht nu wel legitiem en een waarheidsgehalte heeft?

Waar het weer eens meer op lijkt is op een goedkope manier snel de publiciteit zoeken van een security bedrijf.
Een doorzichtige manier van meeliften op de publiciteit rondom de ontdekking van een ander (F-Secure kan dat ook goed trouwens).

Dat vermoeden is overigens inhoudelijk (nog) niet geheel te controleren omdat de eventuele kleine toegevoegde kleine meerwaarde niet kan worden gecontroleerd buiten de informatie die de url van het blogbericht geeft.
Waarom niet?
Symantec houdt niet van maatregelen die tracking tegengaan, sta je de hele trackende javascripts handel wel toe dan nog zal het een vrijwel blanco pagina serveren wanneer de site bezocht wordt van een willekeurige proxy service of bezocht met Tbrowser.

Dergelijke overmatig eisen van volledig toestaan van scripts en het blokkeren van anonimiserende ip adressen duidt of op een duidelijke creatieve en technische incompetentie een werkende website op laagdrempelige wijze te presenteren en tevens te beveiligen of, en dat vermoeden is aannemelijker, duidt op geforceerd willen datacollecteren van bezoekersdata door de Symantec marketeerafdeling.

Veel berichten van security bedrijven zijn helemaal niet bedoeld om echt informatief te zijn, ze zijn vaak slechts een gratis en goedkoop excuus om de publiciteit te halen het eigen merk voor het voetlicht te brengen en producten aan de man te brengen.

Symantec kan dat meeliftend op Mac nieuws wel proberen.
Maar een beetje Mac gebruiker met ervaring weet dat Norton niet bepaald het hebbedingetjes product is dat je op je Mac wil hebben!
Tenzij je tijd en zin over hebt om problemen op te lossen die Symantec producten op je Mac veroorzaken.
Als het presenteren van je eigen blog pagina je al hoofdbrekers bezorgt, wat kunnen we dan verder nog verwachten van de andere producten?

Zoek maar rond op het web, prijsschieten.

Notron op je Mac? No Way!

Jammer van de werkelijke inhoud, die gaat door dit soort commerciële publiciteitsacties een beetje verloren.
Andere reactie komt apart.
07-06-2015, 18:07 door svenvandewege
@anoniem 14:28: Kalm aan man het is zondag. Pfffffff. Ben je bang dat je aandelen Apple zullen kelderen ofzo.
07-06-2015, 18:33 door Anoniem
Jullie hebben beide wat rust nodig.

En het is niet "Notron", maar Jimmy Nutron.

http://worldnewsdailyreport.com/first-rehab-center-for-people-addicted-to-apple-products-inaugurated-in-new-york/
07-06-2015, 18:40 door Anoniem
Ik heb nog even overwogen om een 2e hands refurbished macbook te kopen,maar nu ik dit lees ben ik blij dat ik dat niet heb gedaan.Dus het dure,veelgeprezen,''veilige" systeem van Apple is toch niet zo geweldig/veilig,maar nog steeds wel pokke duur.Apple,in het licht van de recente constateringen: fors omlaag met die prijzen van jullie apparaten!
07-06-2015, 21:04 door Anoniem
Is dit ook voor snow leopard? Ik maak namelijk nog gebruik van deze oude firmware en heb nooit problemen er mee.
07-06-2015, 21:25 door [Account Verwijderd]
[Verwijderd]
07-06-2015, 22:33 door Anoniem
Aantekeningetjes (als 14:28 aangekondigd) :

• Hoezo de meeste?
dat er inderdaad een kwetsbaarheid in de firmware van de meeste Mac-computers aanwezig is
Dat wordt wel beweerd maar is niet aangetoond.


• Vanaf 2011
De kwetsbaarheid is bevestigd in de Mac Mini 5.1, MacBook Pro 8.2, 9.1 en 9.2, MacBook Pro Retina 10.1 en MacBook Air 5.1. De MacBook Pro 11.3 en MacBook Air 6.2 zouden niet kwetsbaar zijn.
Dat zijn Mac's vanaf zomer 2011 en loopt verassend synchroon met de introductie van OS X Lion dat onder de motorkap vele code-wijzigingen had.
De Mac Mini 5.1 van zomer 2011 werd met OS X 10.7 voorgeïnstalleerd geleverd.
Mac's van "early 2011 werden met OS X 10.6.6 geleverd.

Ergo: goede kans (ik acht het vooralsnog zeer aannemelijk) dat de kwestbaarheid synchroon loopt met de levering van Mac's met OS X 10.7 voorgeïnstalleerd en dat daarom Mac's van voor zomer 2011 (met een lager OS X voorgeïnstalleerd) niet kwetsbaar zijn.


• Waar is de statistiek?

Hoeveel Mac's van voor zomer 2011 zijn er nog operationeel en hoeveel erna?

Wie het weet mag het zeggen (zeg maar gerust ook nog heel veel !)
Denk ook aan de overgang van IBM naar Intel processoren in 2005/2006, nog kleinere kans dat hetzelfde euvel geldt voor die Mac's.
Kijk voor een idee van het werkende aanbod maar op Marktplaats naar Powermac's G5, G4, G3 en Powerbook Mac's om te zien of die nog operationeel zijn (ze worden in ieder geval nog voor de nodige vraagprijzen aangeboden en verkocht).


• Slapeloze nachten?
Het probleem, dat niet in de nieuwste modellen van Apple aanwezig is, ontstaat als de computer uit zijn slaapstand wordt gehaald, waardoor een gebruiker toegang tot de firmware kan krijgen.
Ja dat is een rot probleem.

Het voordeel is is dat er wel dan ook al malware actief moet zijn of dat men remote commando's zou moeten kunnen geven op die Mac.
Kan wel, gebeurt niet veel en daarmee is de dreiging laag bij een mogelijk hoge impact.

Kleine kans waar je voornamelijk zelf gunstige invloed op kan uitoefenen!


• Lek kan niets op zichzelf
Voor deze laatste aanval zou een aanvaller echter over een tweede kwetsbaarheid moeten beschikken die roottoegang biedt. "Hoewel dit soort kwetsbaarheden niet wijdverbreid is, komen ze van tijd tot tijd wel voor", aldus Symantec.
Relatief gezien kan je stellen dat het weinig voorkomt.

Meestal moet de gebruiker malware helpen door het opgeven van een admin password.
Heel soms zit de malware goed in elkaar, Java zit in ieder geval niet werkend meer op de Mac.
Dat wordt zoeken naar iets anders, bij Apple zit men niet stil, vindt men zelf gaten en patcht men deze voordat er misbruik van wordt gemaakt.

Allergrootste risico blijft de gebruiker zelf.
Een gebruiker die trapt in social engineering en fake installers/programma's met het negeren van waarschuwingen en omzeilen van beveiliging dieOS X zelfs geeft.


• Wilde waarschuwingen
Symantec merkt op dat er nog geen aanvallen in het wild zijn waargenomen, maar waarschuwt dat de kans op aanvallen toeneemt naarmate het nieuws over het lek zich verspreidt.
;p 'dan moet symantec vooral zijn mond houden' als het verder toch weinig te melden heeft.
Symantec vergroot het probleem dus aanzienlijk door zo de aandacht te trekken!
Ik snap nu wel waarop de pagina weer blank is voor meer anonieme bezoekers ;)


• Aanvullen maar …
Totdat er een update beschikbaar is krijgen gebruikers die denken risico te lopen het advies om hun computer volledig uit te schakelen in plaats van de slaapstand te gebruiken.
Dat advies kwam trouwens al van Pedro en niet van Syman.

Ik mis hele belangrijke optie's, wat dacht je van dit rijtje om naar te kijken (en te doen) :


Komt ie :

!1) Niet meer werken onder je Admin Account en een standaard account aanmaken

!2) Algemene security voorkeuren instellen op iets als "Requires a password to unlock each system Preferences pane".
Daarmee gaan je algemene voorkeuren op slot en heb je een password nodig om deze te wijzigen.

!3) Wakker worden? Nee, niet in slaap vallen!
Onder algemene systeem energie voorkeuren de slaapstand uitzetten (!), dus de slider naar 'never' verschuiven .

Kies daarbij maar een leuke screensaver die niet teveel energie kost en laat ook het scherm niet in slaap vallen om het verschil te kunnen zien tussen een systeem dat slaap en dat nog actief is.

!4) Nooit je Macbook dichtklappen (waardoor het in sleepmodus gaat) voordat je de macbook hebt uitgezet!
Dat zal een lastige 'Niet-Handeling' worden (iets met pav en lov).

!5) Alle software en internetplugins up to date houden, zeker de 3rd party software die rootpermissies heeft en eventueel voor privilege escalation zou kunnen zorgen als het een lek heeft.
Dat is in ieder geval al je AV product.

!6) Java functionaliteit uitschakelen als je het niet nodig hebt.
Met Flashback is bewezen welke belangrijke verkeerde intermediar rol Java kan spelen.

!7) Waar elk o zo bezorgd AV bedrijf ongeveer altijd mee afsluit (maar deze keer niet controleerbaar wegen onbereikbare pagina) is, installeer een AV product (van ons!).
Dat is op zich helemaal geen slecht idee, mits en maar ..

- Mits het bedrijf goede software levert en ook echt aantoonbaar goede ervaring heeft met het Mac platform en aantoonbaar een goed product levert

- Mits het je niet teveel kost qua geld, hoe scoort het in vergelijking met gratis producten?
Of teveel kost qua privacy, wat verzamelt het aan data (account aanmaken verplicht?) en pusht het bepaalde (risicovolle SSL MitM) voorkeuren of laat het zelfs bepaalde voorkeuren weg/uit het zicht voor de klant?
Hoeveel tracking past het toe op de eigen website, HTML5 Canvas Fingerprinting?
Serious anti privacy business! De AV's die dit gebruiken zitten ertussen hoor.

( https://en.wikipedia.org/wiki/Canvas_fingerprinting )

- Mits het bedrijf zelf wel te vertrouwen is : hoe je dat beoordeelt?
Wellicht een mix van beoordeling op integriteit (optreden naar buiten toe bijvoorbeeld), land van herkomst, desgewenst politieke of juist a-politieke houding, de soort samenwerking die het (of dochterbedrijven) heeft met overheden.

!9) Geen overbodige verbindingen hebben openstaan met gedeelde volumes/boxes/drives en de inhoud laten scannen door je av scanner als dat kan.
Alles wat je in die Mac aan usb/thunderbolt/ect devices prikt laten scannen op malware.

!10) Ook een heel lastige : Niet meewerken aan Social Engineering 'grappen'!

Niet zomaar van alles op die Mac installeren, eerst reviews lezen en alleen downloaden vanaf vertrouwde bron wat meestal van de makers zelf is (helpt je niet automatische beschermen tegen adware installers, van Oracle bijvoorbeeld).

!11) .. .. ..
Er is meer denk(doe!)baar maar het hoeft nu geen omgekeerde remote-'hack'-de-Mac lijst te worden.
Bij gebrek aan laat ik het hierbij en denk ik dat je met deze maatregelen al een heel eind op weg bent.

!12) Royale Apple update care.
Zou het ervan komen?
Hopelijk.

;)


P.s, zou het heel misschien hiermee te kunnen hebben te maken hebben? Extra
Zelfde jaar, zelfde hoek.
http://www.engadget.com/2011/08/22/why-hibernate-or-safe-sleep-mode-is-no-longer-necessary-in-os/
08-06-2015, 00:52 door Anoniem
"...Voor deze laatste aanval zou een aanvaller echter over een tweede kwetsbaarheid moeten beschikken die roottoegang biedt..."; dus je hebt al root toegang om een rootkit te installeren ..... tja, da's niet zo moeilijk. Maar waar haal je die 2de kwetsbaarheid vandaan?
08-06-2015, 01:03 door Anoniem
Door Anoniem: Ik heb nog even overwogen om een 2e hands refurbished macbook te kopen,maar nu ik dit lees ben ik blij dat ik dat niet heb gedaan.Dus het dure,veelgeprezen,''veilige" systeem van Apple is toch niet zo geweldig/veilig,maar nog steeds wel pokke duur.Apple,in het licht van de recente constateringen: fors omlaag met die prijzen van jullie apparaten!

Geloof je zelf dat je die zou kopen? Ik geloof er namelijk geen snars van. Waarom blijf je niet gebruiken wat je prettig vindt? Waar je geen last hebt van kwetsbaarheden, toch? En volgens mij is een goede Windows/Linux laptop (met metalen behuizing) net zo duur als een MacBook dus wat zeur je nou?

Even een vraagje; voor welk OS zijn de meeste kwetsbaarheden/malware beschikbaar?....... Ja, komt u maar....
08-06-2015, 10:38 door Anoniem
Door Anoniem:
Door Anoniem: Ik heb nog even overwogen om een 2e hands refurbished macbook te kopen,maar nu ik dit lees ben ik blij dat ik dat niet heb gedaan.Dus het dure,veelgeprezen,''veilige" systeem van Apple is toch niet zo geweldig/veilig,maar nog steeds wel pokke duur.Apple,in het licht van de recente constateringen: fors omlaag met die prijzen van jullie apparaten!

Geloof je zelf dat je die zou kopen? Ik geloof er namelijk geen snars van. Waarom blijf je niet gebruiken wat je prettig vindt? Waar je geen last hebt van kwetsbaarheden, toch? En volgens mij is een goede Windows/Linux laptop (met metalen behuizing) net zo duur als een MacBook dus wat zeur je nou?

Even een vraagje; voor welk OS zijn de meeste kwetsbaarheden/malware beschikbaar?....... Ja, komt u maar....
windows luidt het goede antwoord.
08-06-2015, 11:52 door Mysterio
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik heb nog even overwogen om een 2e hands refurbished macbook te kopen,maar nu ik dit lees ben ik blij dat ik dat niet heb gedaan.Dus het dure,veelgeprezen,''veilige" systeem van Apple is toch niet zo geweldig/veilig,maar nog steeds wel pokke duur.Apple,in het licht van de recente constateringen: fors omlaag met die prijzen van jullie apparaten!

Geloof je zelf dat je die zou kopen? Ik geloof er namelijk geen snars van. Waarom blijf je niet gebruiken wat je prettig vindt? Waar je geen last hebt van kwetsbaarheden, toch? En volgens mij is een goede Windows/Linux laptop (met metalen behuizing) net zo duur als een MacBook dus wat zeur je nou?

Even een vraagje; voor welk OS zijn de meeste kwetsbaarheden/malware beschikbaar?....... Ja, komt u maar....
windows luidt het goede antwoord.
Windows wat?
08-06-2015, 13:08 door Anoniem
Mac users :
Insert 100 lines of arguements here.

Windows users :
Ok, when will it be fixed?

Gewoon even een vergelijking...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.