標籤:

研究顯示:數百萬蘋果Mac設備仍受EFI固件漏洞影響

「始終將自身的操作系統和軟體更新至最新狀態」!這是為了防止遭受重大的網路攻擊,每個安全專家都會強烈建議你需要遵循的關鍵安全建議之一。但是,即便你嘗試更新所有安裝在系統上的軟體,你的計算機設備仍然很有可能是過時且脆弱的存在。

近日,來自密歇根州安阿伯市Duo Security安全公司的研究人員在分析超過73,000台Macs系統設備後發現,大量蘋果Mac設備未能安裝EFI固件漏洞補丁,或是根本沒有收到任何更新。如此一來,全球成千上萬台Mac電腦可能很容易遭受毀滅性的固件攻擊,而這些攻擊幾乎是不可能被發現或停止的。

更糟糕的是,研究人員認為,這一問題並不局限於Mac電腦,數百萬台Windows和Linux電腦也很容易受到攻擊,而它們的用戶可能永遠不會知道。

關於可擴展固件介面(EFI)  

可擴展固件介面(ExtensibleFirmwareInterface,簡稱EFI)是由英特爾開發的一種在個人電腦系統中,替代BIOS的升級方案。可擴展固件介面負責上電自檢(POST)、連繫操作系統以及提供連接操作系統與硬體的介面。

數百萬MAC設備受EFI漏洞影響

蘋果公司就是為那些「比計算機操作系統和管理程序更低層面運行,並控制boot進程」的Mac電腦使用了英特爾公司設計的可擴展固件介面(EFI)。EFI會在macOS啟動之前運行,並且具有更高級的許可權,如果攻擊者成功利用這些許可權,那麼就能夠使EFI惡意軟體控制一切,且不會被監測到。

Duo Security的研究人員表示,

除了能夠規避更高級別的安全控制外,攻擊EFI還能讓攻擊者處於非常隱蔽且難以檢測到的狀態中;此外,它還會讓惡意軟體難以被移除——安裝一個新的操作系統,甚至是完全替換整個硬碟都是不足以去除這些惡意軟體的。

然而,一個更為糟糕的現實是什麼呢?除了未能向某些系統推送EFI更新外,蘋果公司甚至也未能通知用戶EFI更新進程失敗或技術故障等問題,從而致使數百萬Mac用戶極易遭受複雜且高級持續的網路攻擊的影響。

Duo公司的研究人員表示,平均而言,在企業環境中所使用的73,324台Mac設備中,有4.2%運行的是它們本不應運行的不同EFI固件版本,這一結論是基於硬體型號、操作系統版本和與OS共同發布的EFI版本得出的。

而更讓人吃驚的數字是,在所分析的iMac機型中,有43%的設備運行的是過時的且不安全的固件;另外,至少有16個Mac機型(大多數為2010年以前生產的)從未接收到任何EFI固件更新。

對此,Duo研究人員表示,

這一關鍵EFI漏洞可以說是蘋果公司早已知曉的存在,且已經釋放了安全補丁,所以,當我們分析發現得到補丁卻未進行更新的設備數量如此龐大時,著實為之震驚。此外,我們還發現,即使用戶運行的是最新版本的macOS,並且已經安裝發布的最新補丁,但是我們的數據顯示,用戶運行的EFI固件也有可能並非是最新版本。

除此之外,Duo研究人員還發現了47款運行10.12、10.11、10.10版本的macOS型號並沒有接收到解決已知漏洞Thunderstrike1的EFI固件更新。而31款型號並未得到解決同樣漏洞的遠程版本Thunderstrike 2的EFI固件補丁。

關於Thunderstrike

2015年初,研究人員發現了感染蘋果電腦ROM級的惡意程序「Thunderstrike」,8月份,「Thunderstrike」的變種——「Thunderstrike 2」出現。據悉,這兩款漏洞的作者是LegbaCore公司的創始人,安全專家Trammell Hudso,他也是另一種BIOS惡意軟體Xeno Kovah的創造者。

Thunderstrike展示了蠕蟲通過外設(Thunderbolt介面)物理接觸及利用蘋果EFI安全漏洞惡意傳播的能力,而 Thunderstrike 2則擁有通過惡意網站或電郵即可傳播的能力。一旦安裝了這種Thunderstrike的惡意軟體,它會替換Mac固件下的引導固件程序,以高優先順序的指令獲得系統控制許可權。

這款惡意軟體可以繞過固件程序密碼驗證及硬碟密碼驗證,在操作系統啟動時就預裝上後門。該惡意軟體還可以通過連接Mac機器Thunderbolt(雷電)介面的外接設備(乙太網適配器,外接SSD,RAID控制器等)進行傳播。當攻擊者使用帶有惡意軟體的外接設備插入Mac機器中進行引導時,會把惡意Option ROM注入可擴展固件介面(EFI)。

更多廠商受此影響

據研究人員介紹,他們的研究重點是Mac生態系統,因為蘋果公司在控制全棧方面處於一個特殊位置,但所發現的安全問題可能並不僅限於蘋果公司。研究人員表示,

「我們認為,我們發現的安全問題可能適用於必須確保EFI固件安全的所有供應商,而不僅僅是蘋果公司。」

擁有大量Mac的企業可以查看Duo實驗室最新發布的白皮書,來查看自己的設備型號是否已經過期。Mac用戶和管理員也可以通過使用即將發布的免費開源工具EFIgy來檢查自身系統運行的是否為最新版本的EFI。

點擊查看完整版報告

本文翻譯自:thehackernews.com/2017/,如若轉載,請註明原文地址: 4hou.com/info/news/7843 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

TAG:信息安全 |