大量最新苹果Mac仍可通过EFI固件漏洞入侵

MacosXtolive 2017-10-04

大量最新苹果Mac仍可通过EFI固件漏洞入侵

安全公司Duo Labs的研究人员分析了超过73000个Mac系统,并发现其中有大量的苹果Mac电脑无法有效安装针对DFI固件漏洞的修复补丁,或者说其中的大部分Mac电脑压根没有接收到任何的更新提醒。

苹果公司在Mac电脑上所使用的是由Intel设计的可扩展固件接口(EFI),EFI运行在比计算机操作系统和进程管理程序更底层的地方,它负责控制计算机的启动引导进程。

EFI的运行优先于macOS操作系统的启动,并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话,他们将能够利用EFI恶意软件来控制目标计算机,而且还不会被安全防护产品所检测到。

Duo Labs的研究人员表示:“这种漏洞除了能够允许攻击者绕过更高级别的安全管理机制之外,攻击EFI还可以更加方便攻击者隐藏自己的恶意行为,并增加检测的难度。(因此操作系统所显示给你的EFI状态信息是不可信的)除此之外,即便是用户重装了系统或者直接更换掉整块硬盘,也仍不足以解决问题。”

更糟糕的是什么?除了某些Mac电脑无法正常接收到EFI更新推送之外,当接收到更新提醒的用户由于技术原因无法正常安装EFI更新时,苹果甚至不会发出任何的警告提醒,从而导致现在有数百万的Mac用户将面临着各种复杂的高级持续性网络攻击威胁。

根据研究人员透露的数据,在目前全球的企业环境中有4.2%的Mac运行着不同版本(不同硬件型号、操作系统版本以及EFI版本)的EFI固件,而这些Mac电脑早就应该进行升级更新了。更加恐怖的是,目前总共有43%的iMac电脑(21.5寸,出厂日期为2015年底)安装的是存在漏洞的固件,而且至少有16款Mac电脑在Mac OS X 10.10和10.12.6正式发布时没有收到过任何的EFI固件更新通知。

大量最新苹果Mac仍可通过EFI固件漏洞入侵

Duo的研究人员说到:“在我们在对该漏洞进行分析和研究的过程中,苹果公司也已经得到了关于这个EFI漏洞的详细信息并着手进行修复了,但是目前仍然有大量不同型号的Mac电脑没有收到EFI更新提醒,但是它们却能够正常接收到其他的软件安全更新。即使你运行的是最新版本的macOS系统,并且安装了所有已发布的安全更新补丁,我们的分析数据显示这些Mac第难熬仍然无法抵御EFI固件更新。”

Thunderstrike攻击起源于NSA

Duo的安全研究人员还发现,有47种不同型号的Mac电脑(运行10.10、10.11和10.12版本的macOS)没有收到针对已知漏洞Thunderstrike1的EFI固件更新。除此之外,还有31种型号的Mac电脑没有接收到针对远程漏洞Thunderstrike 2的EFI固件更新。

Thunderstrike攻击(主要依赖于旧版本固件)最初是由美国国家安全局(NSA)研发的,并且在WikiLeaks Vault 7数据泄露事件中被曝光。

关于受影响Mac型号的详细信息请参考Duo Labs提供的安全分析报告:【点我查看

根据研究人员透露的信息,他们的研究主要针对的是苹果的Mac生态系统。众所周知,Mac电脑的整个生态系统都是由苹果公司一手掌控的,而且Mac电脑在全球所占的市场份额也在逐渐提升。即便如此,Duo此次所发现的EFI固件安全问题却不仅只有苹果一家的产品存在,很多其他厂商的EFI固件中同样存在类似的安全问题。

如果你的企业环境中使用了大量的Mac电脑,我们建议管理员尽快核查受影响的Mac电脑型号(参考Duo Labs的详细研究报告),并尽快采取相应措施。

除此之外,广大Mac用户和管理员请尽快使用免费开源工具EFIgy【点我下载】来检查自己计算机的EFI版本是否为最新版本(苹果公司即将推送EFI固件更新)。

* 参考来源:thehackernews,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

相关推荐

爱文学更爱编程 / 0评论 2020-08-01