Deshabilitar orom en firmwarepasswd Catalina

Question

Desde Catalina, macOS protege todos los OROM y los obliga a ejecutarse en el anillo 3. Antes de eso, no los dejaba ejecutarse en absoluto a menos que el usuario los obligara.

DeSeguridad de la plataforma Apple: opción de seguridad ROM en macOS

En macOS 10.15, el firmware UEFI se actualizó para contener un mecanismo para aislar OROM y quitarles privilegios. El firmware UEFI normalmente ejecuta todo el código, incluidos los OROM, en el nivel máximo de privilegio de la CPU, llamado anillo 0, y tiene un único espacio de memoria virtual compartido para todo el código y los datos. El anillo 0 es el nivel de privilegio donde se ejecuta el kernel de macOS, mientras que el nivel de privilegio inferior, el anillo 3, es donde se ejecutan las aplicaciones. El sandbox de OROM desprivilegia a los OROM al hacer uso de la separación de memoria virtual como lo hace el kernel y luego hacer que los OROM se ejecuten en el anillo 3.

La zona de pruebas restringe aún más significativamente tanto las interfaces a las que los OROM pueden llamar (muy parecido al filtrado de llamadas del sistema en los kernels) como el tipo de dispositivo en el que un OROM puede registrarse (muy parecido a la aprobación de aplicaciones). El beneficio de este diseño es que los OROM maliciosos ya no pueden escribir directamente en ningún lugar dentro de la memoria del anillo 0. En cambio, están limitados a una interfaz sandbox muy estrecha y bien definida. Esta interfaz limitada reduce significativamente la superficie de ataque y obliga a los atacantes a escapar primero del entorno limitado y escalar privilegios.

Lo que no queda claro es si la firmwarepasswdutilidad se cambió para evitar la interacción del usuario o si ahora está codificada. Eso puede explicar por qué fracasaron sus intentos de privarle de privilegios.

Answer 1

Desde Catalina, macOS protege todos los OROM y los obliga a ejecutarse en el anillo 3. Antes de eso, no los dejaba ejecutarse en absoluto a menos que el usuario los obligara.

DeSeguridad de la plataforma Apple: opción de seguridad ROM en macOS

En macOS 10.15, el firmware UEFI se actualizó para contener un mecanismo para aislar OROM y quitarles privilegios. El firmware UEFI normalmente ejecuta todo el código, incluidos los OROM, en el nivel máximo de privilegio de la CPU, llamado anillo 0, y tiene un único espacio de memoria virtual compartido para todo el código y los datos. El anillo 0 es el nivel de privilegio donde se ejecuta el kernel de macOS, mientras que el nivel de privilegio inferior, el anillo 3, es donde se ejecutan las aplicaciones. El sandbox de OROM desprivilegia a los OROM al hacer uso de la separación de memoria virtual como lo hace el kernel y luego hacer que los OROM se ejecuten en el anillo 3.

La zona de pruebas restringe aún más significativamente tanto las interfaces a las que los OROM pueden llamar (muy parecido al filtrado de llamadas del sistema en los kernels) como el tipo de dispositivo en el que un OROM puede registrarse (muy parecido a la aprobación de aplicaciones). El beneficio de este diseño es que los OROM maliciosos ya no pueden escribir directamente en ningún lugar dentro de la memoria del anillo 0. En cambio, están limitados a una interfaz sandbox muy estrecha y bien definida. Esta interfaz limitada reduce significativamente la superficie de ataque y obliga a los atacantes a escapar primero del entorno limitado y escalar privilegios.

Lo que no queda claro es si la firmwarepasswdutilidad se cambió para evitar la interacción del usuario o si ahora está codificada. Eso puede explicar por qué fracasaron sus intentos de privarle de privilegios.

Deshabilitar orom en firmwarepasswd Catalina

Respuesta1

información relacionada