Deaktivieren Sie orom in Firmwarepasswd Catalina

Question

Seit Catalina führt macOS eine Sandbox für alle OROMs durch und zwingt sie, im Ring 3 zu laufen. Zuvor ließ es sie überhaupt nicht laufen, es sei denn, der Benutzer zwang sie dazu.

AusApple-Plattformsicherheit – Option-ROM-Sicherheit in macOS

In macOS 10.15 wurde die UEFI-Firmware aktualisiert und enthält nun einen Mechanismus zum Sandboxing von OROMs und zum Entfernen von Berechtigungen. Die UEFI-Firmware führt normalerweise allen Code, einschließlich OROMs, auf der höchsten CPU-Berechtigungsstufe aus, die als Ring 0 bezeichnet wird, und verfügt über einen einzigen gemeinsam genutzten virtuellen Speicherplatz für allen Code und alle Daten. Ring 0 ist die Berechtigungsstufe, auf der der macOS-Kernel ausgeführt wird, während die Apps auf der niedrigeren Berechtigungsstufe, Ring 3, ausgeführt werden. Die OROM-Sandbox entzieht OROMs die Privilegien, indem sie wie der Kernel eine Trennung des virtuellen Speichers nutzt und die OROMs dann in Ring 3 ausführen lässt.

Die Sandbox schränkt darüber hinaus sowohl die Schnittstellen, die die OROMs aufrufen können (ähnlich wie die Systemaufruffilterung in Kerneln), als auch den Gerätetyp, als den sich ein OROM registrieren kann (ähnlich wie die App-Genehmigung), erheblich ein. Der Vorteil dieses Designs besteht darin, dass bösartige OROMs nicht mehr direkt irgendwo im Ring 0-Speicher schreiben können. Stattdessen sind sie auf eine sehr enge und gut definierte Sandbox-Schnittstelle beschränkt. Diese eingeschränkte Schnittstelle reduziert die Angriffsfläche erheblich und zwingt Angreifer, zunächst aus der Sandbox auszubrechen und ihre Berechtigungen zu erhöhen.

Daraus geht nicht hervor, ob das firmwarepasswdDienstprogramm geändert wurde, um Benutzerinteraktionen überhaupt zu verhindern, oder ob dies jetzt fest codiert ist. Das könnte erklären, warum Ihre Versuche, die Berechtigung zu entziehen, fehlgeschlagen sind.

Answer 1

Seit Catalina führt macOS eine Sandbox für alle OROMs durch und zwingt sie, im Ring 3 zu laufen. Zuvor ließ es sie überhaupt nicht laufen, es sei denn, der Benutzer zwang sie dazu.

AusApple-Plattformsicherheit – Option-ROM-Sicherheit in macOS

In macOS 10.15 wurde die UEFI-Firmware aktualisiert und enthält nun einen Mechanismus zum Sandboxing von OROMs und zum Entfernen von Berechtigungen. Die UEFI-Firmware führt normalerweise allen Code, einschließlich OROMs, auf der höchsten CPU-Berechtigungsstufe aus, die als Ring 0 bezeichnet wird, und verfügt über einen einzigen gemeinsam genutzten virtuellen Speicherplatz für allen Code und alle Daten. Ring 0 ist die Berechtigungsstufe, auf der der macOS-Kernel ausgeführt wird, während die Apps auf der niedrigeren Berechtigungsstufe, Ring 3, ausgeführt werden. Die OROM-Sandbox entzieht OROMs die Privilegien, indem sie wie der Kernel eine Trennung des virtuellen Speichers nutzt und die OROMs dann in Ring 3 ausführen lässt.

Die Sandbox schränkt darüber hinaus sowohl die Schnittstellen, die die OROMs aufrufen können (ähnlich wie die Systemaufruffilterung in Kerneln), als auch den Gerätetyp, als den sich ein OROM registrieren kann (ähnlich wie die App-Genehmigung), erheblich ein. Der Vorteil dieses Designs besteht darin, dass bösartige OROMs nicht mehr direkt irgendwo im Ring 0-Speicher schreiben können. Stattdessen sind sie auf eine sehr enge und gut definierte Sandbox-Schnittstelle beschränkt. Diese eingeschränkte Schnittstelle reduziert die Angriffsfläche erheblich und zwingt Angreifer, zunächst aus der Sandbox auszubrechen und ihre Berechtigungen zu erhöhen.

Daraus geht nicht hervor, ob das firmwarepasswdDienstprogramm geändert wurde, um Benutzerinteraktionen überhaupt zu verhindern, oder ob dies jetzt fest codiert ist. Das könnte erklären, warum Ihre Versuche, die Berechtigung zu entziehen, fehlgeschlagen sind.

Deaktivieren Sie orom in Firmwarepasswd Catalina

Antwort1

verwandte Informationen