研究显示：数百万苹果Mac设备仍受EFI固件漏洞影响

小二郎新闻 2017-10-02 17:47:46

105149

导语：

“始终将自身的操作系统和软件更新至最新状态”！这是为了防止遭受重大的网络攻击，每个安全专家都会强烈建议你需要遵循的关键安全建议之一。但是，即便你尝试更新所有安装在系统上的软件，你的计算机设备仍然很有可能是过时且脆弱的存在。

近日，来自密歇根州安阿伯市Duo Security安全公司的研究人员在分析超过73,000台Macs系统设备后发现，大量苹果Mac设备未能安装EFI固件漏洞补丁，或是根本没有收到任何更新。如此一来，全球成千上万台Mac电脑可能很容易遭受毁灭性的固件攻击，而这些攻击几乎是不可能被发现或停止的。

更糟糕的是，研究人员认为，这一问题并不局限于Mac电脑，数百万台Windows和Linux电脑也很容易受到攻击，而它们的用户可能永远不会知道。

关于可扩展固件接口（EFI）　　

可扩展固件接口（ExtensibleFirmwareInterface，简称EFI）是由英特尔开发的一种在个人电脑系统中，替代BIOS的升级方案。可扩展固件接口负责上电自检（POST）、连系操作系统以及提供连接操作系统与硬件的接口。

数百万MAC设备受EFI漏洞影响

苹果公司就是为那些“比计算机操作系统和管理程序更低层面运行，并控制boot进程”的Mac电脑使用了英特尔公司设计的可扩展固件接口（EFI）。EFI会在macOS启动之前运行，并且具有更高级的权限，如果攻击者成功利用这些权限，那么就能够使EFI恶意软件控制一切，且不会被监测到。

Duo Security的研究人员表示，

除了能够规避更高级别的安全控制外，攻击EFI还能让攻击者处于非常隐蔽且难以检测到的状态中；此外，它还会让恶意软件难以被移除——安装一个新的操作系统，甚至是完全替换整个硬盘都是不足以去除这些恶意软件的。

然而，一个更为糟糕的现实是什么呢？除了未能向某些系统推送EFI更新外，苹果公司甚至也未能通知用户EFI更新进程失败或技术故障等问题，从而致使数百万Mac用户极易遭受复杂且高级持续的网络攻击的影响。

Duo公司的研究人员表示，平均而言，在企业环境中所使用的73,324台Mac设备中，有4.2%运行的是它们本不应运行的不同EFI固件版本，这一结论是基于硬件型号、操作系统版本和与OS共同发布的EFI版本得出的。

而更让人吃惊的数字是，在所分析的iMac机型中，有43%的设备运行的是过时的且不安全的固件；另外，至少有16个Mac机型（大多数为2010年以前生产的）从未接收到任何EFI固件更新。

对此，Duo研究人员表示，

这一关键EFI漏洞可以说是苹果公司早已知晓的存在，且已经释放了安全补丁，所以，当我们分析发现得到补丁却未进行更新的设备数量如此庞大时，着实为之震惊。此外，我们还发现，即使用户运行的是最新版本的macOS，并且已经安装发布的最新补丁，但是我们的数据显示，用户运行的EFI固件也有可能并非是最新版本。

除此之外，Duo研究人员还发现了47款运行10.12、10.11、10.10版本的macOS型号并没有接收到解决已知漏洞Thunderstrike1的EFI固件更新。而31款型号并未得到解决同样漏洞的远程版本Thunderstrike 2的EFI固件补丁。

关于Thunderstrike

2015年初，研究人员发现了感染苹果电脑ROM级的恶意程序“Thunderstrike”，8月份，“Thunderstrike”的变种——“Thunderstrike 2”出现。据悉，这两款漏洞的作者是LegbaCore公司的创始人，安全专家Trammell Hudso，他也是另一种BIOS恶意软件Xeno Kovah的创造者。

Thunderstrike展示了蠕虫通过外设（Thunderbolt接口）物理接触及利用苹果EFI安全漏洞恶意传播的能力，而 Thunderstrike 2则拥有通过恶意网站或电邮即可传播的能力。一旦安装了这种Thunderstrike的恶意软件，它会替换Mac固件下的引导固件程序，以高优先级的指令获得系统控制权限。

这款恶意软件可以绕过固件程序密码验证及硬盘密码验证，在操作系统启动时就预装上后门。该恶意软件还可以通过连接Mac机器Thunderbolt（雷电）接口的外接设备（以太网适配器，外接SSD，RAID控制器等）进行传播。当攻击者使用带有恶意软件的外接设备插入Mac机器中进行引导时，会把恶意Option ROM注入可扩展固件接口（EFI）。

更多厂商受此影响

据研究人员介绍，他们的研究重点是Mac生态系统，因为苹果公司在控制全栈方面处于一个特殊位置，但所发现的安全问题可能并不仅限于苹果公司。研究人员表示，