• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    大量最新苹果Mac仍可通过EFI固件漏洞入侵

    来源:FreebuF.COM 2017-10-13 10:18:02 苹果 漏洞 金融安全
         来源:FreebuF.COM     2017-10-13 10:18:02

    核心提示EFI的运行优先于macOS操作系统的启动,并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话,他们将能够利用EFI恶意软件来控制目标计算机,而且还不会被安全防护产品所检测到。

    大量最新苹果Mac仍可通过EFI固件漏洞入侵

      安全公司Duo Labs的研究人员分析了超过73000个Mac系统,并发现其中有大量的苹果Mac电脑无法有效安装针对DFI固件漏洞的修复补丁,或者说其中的大部分Mac电脑压根没有接收到任何的更新提醒。

      苹果公司在Mac电脑上所使用的是由Intel设计的可扩展固件接口(EFI),EFI运行在比计算机操作系统和进程管理程序更底层的地方,它负责控制计算机的启动引导进程。

      EFI的运行优先于macOS操作系统的启动,并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话,他们将能够利用EFI恶意软件来控制目标计算机,而且还不会被安全防护产品所检测到。

      Duo Labs的研究人员表示:“这种漏洞除了能够允许攻击者绕过更高级别的安全管理机制之外,攻击EFI还可以更加方便攻击者隐藏自己的恶意行为,并增加检测的难度。(因此操作系统所显示给你的EFI状态信息是不可信的)除此之外,即便是用户重装了系统或者直接更换掉整块硬盘,也仍不足以解决问题。”

      更糟糕的是什么?除了某些Mac电脑无法正常接收到EFI更新推送之外,当接收到更新提醒的用户由于技术原因无法正常安装EFI更新时,苹果甚至不会发出任何的警告提醒,从而导致现在有数百万的Mac用户将面临着各种复杂的高级持续性网络攻击威胁。

      根据研究人员透露的数据,在目前全球的企业环境中有4.2%的Mac运行着不同版本(不同硬件型号、操作系统版本以及EFI版本)的EFI固件,而这些Mac电脑早就应该进行升级更新了。更加恐怖的是,目前总共有43%的iMac电脑(21.5寸,出厂日期为2015年底)安装的是存在漏洞的固件,而且至少有16款Mac电脑在Mac OS X 10.10和10.12.6正式发布时没有收到过任何的EFI固件更新通知。

    大量最新苹果Mac仍可通过EFI固件漏洞入侵

      Duo的研究人员说到:“在我们在对该漏洞进行分析和研究的过程中,苹果公司也已经得到了关于这个EFI漏洞的详细信息并着手进行修复了,但是目前仍然有大量不同型号的Mac电脑没有收到EFI更新提醒,但是它们却能够正常接收到其他的软件安全更新。即使你运行的是最新版本的macOS系统,并且安装了所有已发布的安全更新补丁,我们的分析数据显示这些Mac第难熬仍然无法抵御EFI固件更新。”

      Thunderstrike攻击起源于NSA

      Duo的安全研究人员还发现,有47种不同型号的Mac电脑(运行10.10、10.11和10.12版本的macOS)没有收到针对已知漏洞Thunderstrike1的EFI固件更新。除此之外,还有31种型号的Mac电脑没有接收到针对远程漏洞Thunderstrike 2的EFI固件更新。

      Thunderstrike攻击(主要依赖于旧版本固件)最初是由美国国家安全局(NSA)研发的,并且在WikiLeaks Vault 7数据泄露事件中被曝光。

      根据研究人员透露的信息,他们的研究主要针对的是苹果的Mac生态系统。众所周知,Mac电脑的整个生态系统都是由苹果公司一手掌控的,而且Mac电脑在全球所占的市场份额也在逐渐提升。即便如此,Duo此次所发现的EFI固件安全问题却不仅只有苹果一家的产品存在,很多其他厂商的EFI固件中同样存在类似的安全问题。

      如果你的企业环境中使用了大量的Mac电脑,我们建议管理员尽快核查受影响的Mac电脑型号(参考Duo Labs的详细研究报告),并尽快采取相应措施。

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    猜你喜欢

    收藏成功

    确定