資安業者Duo Security於本周警告,在分析7.3萬台Mac電腦之後,發現其中4.2%的擴展韌體介面(Extensible Firmware Interface,EFI)仍含有安全漏洞,並非是蘋果沒有修補這些漏洞,而是修補不完全,同時預期這類開機前韌體(pre-boot firmware)的安全問題在Windows與Linux中可能更嚴重。

位於主機板上的EFI韌體在作業系統啟動前便開始運作,它辨識並啟動裝置上的硬體元件,再將它們提報給作業系統,操作順序優先於Hypervisor及作業系統。

安全研究人員在2014年底揭露了Mac電腦上的EFI韌體漏洞,駭客可藉由蘋果的Thunderbolt介面將惡意程式植入並常駐於EFI中,2015年即有針對相關漏洞的Thunderstrike與ThunderStrike 2等攻擊程式現身,CIA亦設計了鎖定Mac EFI漏洞的攻擊工具Sonic Screwdriver。

藏匿在EFI中的惡意程式不但可規避作業系統的安全機制、不容易偵測,亦難以移除,不管是重裝作業系統或是更換硬碟都無法擺脫它。

從2015年迄今,蘋果於更新程式中陸續修補EFI漏洞,然而,當Duo Security檢驗於生產環境中使用的7.3萬台Mac電腦時,卻發現有漏網之魚,約有4.2%比例的EFI韌體並未真正被修補。

資安公司Duo Security分析了蘋果這三年來隨著10.10.0至10.12.6的發表所釋出的EFI更新,發現有些Mac的確執行了更新,然而EFI韌體卻未隨之更新,而且未更新EFI韌體的比例也因Mac作業系統、硬體配置或版本的不同而相異,只要是採用10.12 Sierra之前版本Mac電腦上的EFI版本都可能沒有收到應有的更新,甚至有16款Mac型號從未收到過EFI韌體更新,涵蓋iMac、MacBook、Macbook Air、MacBook Pro與MacPro。

Duo Security釋出了EFIgy工具,也提供了詳細的檢測說明,來協助Mac用戶判斷裝置上的EFI韌體是否為安全的版本。

Duo Security建議Mac用戶升級到最新的macOS 10.12.6,也呼籲無法修補EFI漏洞的個人用戶不必太擔心,因為他們相信鎖定EFI韌體漏洞的駭客應是針對高價值的目標發動攻擊,通常是國家級的攻擊行動或是商業間諜。

儘管此一研究是針對蘋果的Mac電腦,不過Duo Security解釋,這是因為蘋果全權負責包含主機板在內的整個平台,方便進行研究,但韌體安全問題在擁有不同主機板及韌體供應商的Windows或Linux電腦上可能更嚴重。


Advertisement

更多 iThome相關內容