Регистрация устройств ChromeOS позволяет применять политики устройства, установленные организацией через консоль администрирования Google, включая функции, доступные пользователям. «Каждое зарегистрированное устройство соблюдает установленные вами политики до тех пор, пока вы не очистите или не удалите их» - сообщается в документации Google.
Именно здесь и появляется эксплойт, получивший название «Shady Hacking 1nstrument Makes Machine Enrollment Retreat», или «SH1MMER», позволяющий пользователям обойти ограничения администратора.
Метод также является ссылкой на shim - образ диска с разрешением на возврат товара (Return Merchandise Authorization, RMA), используемый специалистами сервисных центров для переустановки операционной системы и запуска программ диагностики и ремонта.
Подписанный Google shim-образ представляет собой «комбинацию существующих компонентов заводского комплекта Chrome OS» - в частности, образа релиза, набора инструментов и прошивки - которые можно прошить на USB-накопитель.
Затем Chromebook может быть загружен в режиме разработчика с образом диска, чтобы вызвать опции восстановления. Образ shim может быть как универсальным, так и специфическим для платы Chromebook.
SH1MMER использует модифицированный образ RMA shim для создания носителя восстановления для Chromebook и записывает его на USB-накопитель. Для этого требуется онлайн-сборщик, чтобы загрузить исправленную версию RMA shim с эксплойтом.
На следующем этапе необходимо запустить режим восстановления на Chromebook и подключить USB-накопитель, содержащий образ, к устройству, чтобы отобразить измененное меню восстановления, которое позволяет пользователям полностью отключить машину.
«Теперь он будет вести себя полностью как персональный компьютер и больше не будет содержать шпионских программ или блокирующих расширений» - заявила команда Mercury Workshop, придумавшая эксплойт.
«RMA shim - это заводской инструмент, позволяющий подписывать определенные функции авторизации, но только разделы KERNEL проверяются прошивкой на наличие подписей» - уточнила команда исследователей. «Мы можем редактировать другие разделы по своему усмотрению, если только удалим на них принудительный бит readonly».
Кроме того, меню SH1MMER можно использовать для перепрошивки устройства, включения USB-загрузки, открытия оболочки bash и даже для получения доступа к операционной системе ChromeOS на уровне root.
Источник: https://thehackernews.com
