研究顯示：數百萬蘋果Mac設備仍受EFI固件漏洞影響

「始終將自身的操作系統和軟體更新至最新狀態」！這是為了防止遭受重大的網路攻擊，每個安全專家都會強烈建議你需要遵循的關鍵安全建議之一。但是，即便你嘗試更新所有安裝在系統上的軟體，你的計算機設備仍然很有可能是過時且脆弱的存在。

近日，來自密歇根州安阿伯市Duo Security安全公司的研究人員在分析超過73,000台Macs系統設備後發現，大量蘋果Mac設備未能安裝EFI固件漏洞補丁，或是根本沒有收到任何更新。如此一來，全球成千上萬台Mac電腦可能很容易遭受毀滅性的固件攻擊，而這些攻擊幾乎是不可能被發現或停止的。

更糟糕的是，研究人員認為，這一問題並不局限於Mac電腦，數百萬台Windows和Linux電腦也很容易受到攻擊，而它們的用戶可能永遠不會知道。

關於可擴展固件介面（EFI）

可擴展固件介面（ExtensibleFirmwareInterface，簡稱EFI）是由英特爾開發的一種在個人電腦系統中，替代BIOS的升級方案。可擴展固件介面負責上電自檢（POST）、連繫操作系統以及提供連接操作系統與硬體的介面。

數百萬MAC設備受EFI漏洞影響

蘋果公司就是為那些「比計算機操作系統和管理程序更低層面運行，並控制boot進程」的Mac電腦使用了英特爾公司設計的可擴展固件介面（EFI）。EFI會在macOS啟動之前運行，並且具有更高級的許可權，如果攻擊者成功利用這些許可權，那麼就能夠使EFI惡意軟體控制一切，且不會被監測到。

Duo Security的研究人員表示，

除了能夠規避更高級別的安全控制外，攻擊EFI還能讓攻擊者處於非常隱蔽且難以檢測到的狀態中；此外，它還會讓惡意軟體難以被移除——安裝一個新的操作系統，甚至是完全替換整個硬碟都是不足以去除這些惡意軟體的。

然而，一個更為糟糕的現實是什麼呢？除了未能向某些系統推送EFI更新外，蘋果公司甚至也未能通知用戶EFI更新進程失敗或技術故障等問題，從而致使數百萬Mac用戶極易遭受複雜且高級持續的網路攻擊的影響。

Duo公司的研究人員表示，平均而言，在企業環境中所使用的73,324台Mac設備中，有4.2%運行的是它們本不應運行的不同EFI固件版本，這一結論是基於硬體型號、操作系統版本和與OS共同發布的EFI版本得出的。

而更讓人吃驚的數字是，在所分析的iMac機型中，有43%的設備運行的是過時的且不安全的固件；另外，至少有16個Mac機型（大多數為2010年以前生產的）從未接收到任何EFI固件更新。

對此，Duo研究人員表示，

這一關鍵EFI漏洞可以說是蘋果公司早已知曉的存在，且已經釋放了安全補丁，所以，當我們分析發現得到補丁卻未進行更新的設備數量如此龐大時，著實為之震驚。此外，我們還發現，即使用戶運行的是最新版本的macOS，並且已經安裝發布的最新補丁，但是我們的數據顯示，用戶運行的EFI固件也有可能並非是最新版本。

除此之外，Duo研究人員還發現了47款運行10.12、10.11、10.10版本的macOS型號並沒有接收到解決已知漏洞Thunderstrike1的EFI固件更新。而31款型號並未得到解決同樣漏洞的遠程版本Thunderstrike 2的EFI固件補丁。

關於Thunderstrike

2015年初，研究人員發現了感染蘋果電腦ROM級的惡意程序「Thunderstrike」，8月份，「Thunderstrike」的變種——「Thunderstrike 2」出現。據悉，這兩款漏洞的作者是LegbaCore公司的創始人，安全專家Trammell Hudso，他也是另一種BIOS惡意軟體Xeno Kovah的創造者。

Thunderstrike展示了蠕蟲通過外設（Thunderbolt介面）物理接觸及利用蘋果EFI安全漏洞惡意傳播的能力，而 Thunderstrike 2則擁有通過惡意網站或電郵即可傳播的能力。一旦安裝了這種Thunderstrike的惡意軟體，它會替換Mac固件下的引導固件程序，以高優先順序的指令獲得系統控制許可權。

這款惡意軟體可以繞過固件程序密碼驗證及硬碟密碼驗證，在操作系統啟動時就預裝上後門。該惡意軟體還可以通過連接Mac機器Thunderbolt（雷電）介面的外接設備（乙太網適配器，外接SSD，RAID控制器等）進行傳播。當攻擊者使用帶有惡意軟體的外接設備插入Mac機器中進行引導時，會把惡意Option ROM注入可擴展固件介面（EFI）。

更多廠商受此影響

據研究人員介紹，他們的研究重點是Mac生態系統，因為蘋果公司在控制全棧方面處於一個特殊位置，但所發現的安全問題可能並不僅限於蘋果公司。研究人員表示，

「我們認為，我們發現的安全問題可能適用於必須確保EFI固件安全的所有供應商，而不僅僅是蘋果公司。」

擁有大量Mac的企業可以查看Duo實驗室最新發布的白皮書，來查看自己的設備型號是否已經過期。Mac用戶和管理員也可以通過使用即將發布的免費開源工具EFIgy來檢查自身系統運行的是否為最新版本的EFI。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章: