导语:“始终将自身的操作系统和软件更新至最新状态”!这是为了防止遭受重大的网络攻击,每个安全专家都会强烈建议你需要遵循的关键安全建议之一。但是,即便你尝试更新所有安装在系统上的软件,你的计算机设备仍然很有可能是过时且脆弱的存在。
“始终将自身的操作系统和软件更新至最新状态”!这是为了防止遭受重大的网络攻击,每个安全专家都会强烈建议你需要遵循的关键安全建议之一。但是,即便你尝试更新所有安装在系统上的软件,你的计算机设备仍然很有可能是过时且脆弱的存在。
近日,来自密歇根州安阿伯市Duo Security安全公司的研究人员在分析超过73,000台Macs系统设备后发现,大量苹果Mac设备未能安装EFI固件漏洞补丁,或是根本没有收到任何更新。如此一来,全球成千上万台Mac电脑可能很容易遭受毁灭性的固件攻击,而这些攻击几乎是不可能被发现或停止的。
更糟糕的是,研究人员认为,这一问题并不局限于Mac电脑,数百万台Windows和Linux电脑也很容易受到攻击,而它们的用户可能永远不会知道。
关于可扩展固件接口(EFI)
可扩展固件接口(ExtensibleFirmwareInterface,简称EFI)是由英特尔开发的一种在个人电脑系统中,替代BIOS的升级方案。可扩展固件接口负责上电自检(POST)、连系操作系统以及提供连接操作系统与硬件的接口。
数百万MAC设备受EFI漏洞影响
苹果公司就是为那些“比计算机操作系统和管理程序更低层面运行,并控制boot进程”的Mac电脑使用了英特尔公司设计的可扩展固件接口(EFI)。EFI会在macOS启动之前运行,并且具有更高级的权限,如果攻击者成功利用这些权限,那么就能够使EFI恶意软件控制一切,且不会被监测到。
Duo Security的研究人员表示,
除了能够规避更高级别的安全控制外,攻击EFI还能让攻击者处于非常隐蔽且难以检测到的状态中;此外,它还会让恶意软件难以被移除——安装一个新的操作系统,甚至是完全替换整个硬盘都是不足以去除这些恶意软件的。
然而,一个更为糟糕的现实是什么呢?除了未能向某些系统推送EFI更新外,苹果公司甚至也未能通知用户EFI更新进程失败或技术故障等问题,从而致使数百万Mac用户极易遭受复杂且高级持续的网络攻击的影响。
Duo公司的研究人员表示,平均而言,在企业环境中所使用的73,324台Mac设备中,有4.2%运行的是它们本不应运行的不同EFI固件版本,这一结论是基于硬件型号、操作系统版本和与OS共同发布的EFI版本得出的。
而更让人吃惊的数字是,在所分析的iMac机型中,有43%的设备运行的是过时的且不安全的固件;另外,至少有16个Mac机型(大多数为2010年以前生产的)从未接收到任何EFI固件更新。
对此,Duo研究人员表示,
这一关键EFI漏洞可以说是苹果公司早已知晓的存在,且已经释放了安全补丁,所以,当我们分析发现得到补丁却未进行更新的设备数量如此庞大时,着实为之震惊。此外,我们还发现,即使用户运行的是最新版本的macOS,并且已经安装发布的最新补丁,但是我们的数据显示,用户运行的EFI固件也有可能并非是最新版本。
除此之外,Duo研究人员还发现了47款运行10.12、10.11、10.10版本的macOS型号并没有接收到解决已知漏洞Thunderstrike1的EFI固件更新。而31款型号并未得到解决同样漏洞的远程版本Thunderstrike 2的EFI固件补丁。
关于Thunderstrike
2015年初,研究人员发现了感染苹果电脑ROM级的恶意程序“Thunderstrike”,8月份,“Thunderstrike”的变种——“Thunderstrike 2”出现。据悉,这两款漏洞的作者是LegbaCore公司的创始人,安全专家Trammell Hudso,他也是另一种BIOS恶意软件Xeno Kovah的创造者。
Thunderstrike展示了蠕虫通过外设(Thunderbolt接口)物理接触及利用苹果EFI安全漏洞恶意传播的能力,而 Thunderstrike 2则拥有通过恶意网站或电邮即可传播的能力。一旦安装了这种Thunderstrike的恶意软件,它会替换Mac固件下的引导固件程序,以高优先级的指令获得系统控制权限。
这款恶意软件可以绕过固件程序密码验证及硬盘密码验证,在操作系统启动时就预装上后门。该恶意软件还可以通过连接Mac机器Thunderbolt(雷电)接口的外接设备(以太网适配器,外接SSD,RAID控制器等)进行传播。当攻击者使用带有恶意软件的外接设备插入Mac机器中进行引导时,会把恶意Option ROM注入可扩展固件接口(EFI)。
更多厂商受此影响
据研究人员介绍,他们的研究重点是Mac生态系统,因为苹果公司在控制全栈方面处于一个特殊位置,但所发现的安全问题可能并不仅限于苹果公司。研究人员表示,
“我们认为,我们发现的安全问题可能适用于必须确保EFI固件安全的所有供应商,而不仅仅是苹果公司。”
拥有大量Mac的企业可以查看Duo实验室最新发布的白皮书,来查看自己的设备型号是否已经过期。Mac用户和管理员也可以通过使用即将发布的免费开源工具EFIgy来检查自身系统运行的是否为最新版本的EFI。
点击查看完整版报告