EFI固件:不是那么牢固?欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware对苹果固件问题的看法
目录
显示
在过去的两周里,infosec(信息安全)和苹果社区都被以下发现震惊了:这是Duo Labs对大约7.3万个Mac系统进行的研究在美国,数千台电脑的EFI固件更新失败,而没有向用户发出任何警告。
即使是最新更新的苹果系统也可能没有最新的固件。研究人员发现,平均为4.2%的偏差从预期的标准。预期偏差应该为零或接近于零。有些型号的iMac是这样的43%的人可能会运行“意外”版本.受影响的用户从未收到任何固件更新失败的通知。他们幸运地没有意识到iMac上的安全漏洞。
无论是更换硬盘还是重装操作系统都无法修复固件。不过,对于受影响的用户来说,还有一个亮点。由于问题不在于用户的操作系统或硬盘驱动器/SSD,因此在这个问题上几乎没有丢失数据的风险。
这个安全漏洞是“天要塌下来”的场景吗?我们不认为我们会这么说那你还应该担心吗?也许吧,如果你是固件黑客的正确目标。
为什么苹果用户对EFI固件感到恐慌?
73000个Mac系统中的4.2%听起来并不是什么值得担心的事情。毕竟,如果Duo对类似的Windows电脑子集进行检查,他们可能会发现更多电脑的预引导固件已经过时。
但问题就在这里。Windows电脑更有可能拥有过时且易受攻击的固件。微软有一个非常分散的生态系统,有很多不同的制造商。他们不能单方面发布自动固件补丁之类的。另一方面,苹果一直保持其生态系统的整体,因此更容易控制和策划。
这个漏洞代表了一种苹果用户不习惯的安全风险。由于苹果严格的自动更新,在未打补丁和过时的EFI固件甚至运行的联盟状态这在苹果系统上肆虐根本不应该发生。大多数pc都没有BIOS的自动更新。苹果有,但它并没有为成千上万的用户正常工作。
应该苹果用户抓狂了?
幸运的是,对于大多数用户来说,围绕这个问题的喧嚣更多的是苹果犯了这么大的错误,而不是网络安全风险——可能不会严重到我们都应该像无头苍蝇一样到处跑。
然而,为了理解为什么过时的EFI固件可能是一种网络安全风险,以及它是否足以让你立即采取行动,了解究竟是什么很重要EFI固件是什么,它能做什么恶意分子如何利用过时的EFI固件。
什么是EFI固件?
在Gi欧宝娱乐百科张信哲代言博彩 欧宝娱乐llware的案例研究博客中,我们谈论了很多关于硬盘驱动器内部固件的内容,但很少有人知道。我们经常把它比作你设备的“操作系统”,或者用不太专业的话来说,设备的“大脑”。
从本质上讲,你电脑的固件是在你的操作系统之下的操作系统。这是隐藏的和经常看不见的基础这就支持了其他一切。随着计算机变得越来越复杂,固件也变得越来越复杂。今天的计算机科学家认为你电脑的固件几乎和操作系统本身一样复杂和功能齐全。
自2015年一次名为“雷击”的黑客攻击苹果电脑以来,苹果公司就将定期的EFI固件更新与操作系统更新捆绑在一起。雷击被称为“固件rootkit”,或者一种黑客攻击,允许黑客远程将恶意代码写入引导环境。代码独立于操作系统和硬盘驱动器。即使更换硬盘和重装操作系统也不能清除固件中的恶意代码!
苹果公司建立的EFI固件更新本应保护他们的机器免受Thunderstrike和未来固件rootkit黑客的威胁。事实上,自从苹果启动这些固件更新以来,一些用户还没有更新他们的固件,这使得成千上万的用户仍然容易受到攻击。
不过,像Thunderstrike这样的rootkit到底对你有什么危害呢?
一戒天下
您的计算机有不同的特权“层”,称为环,当你往下走,你的特权就会增加。Ring级别0到2包含计算机功能的“主管”级别,而Ring 3是用户模式,授予您期望作为用户拥有的特权和控制。
这些环的目的是将用户运行的代码与操作系统或内核运行的代码分开,防止用户滥用重要功能。事实上,低环可以取代高环。
您的操作系统位于特权级别Ring 0。对于外行来说,这听起来像是拥有最高权力的最低层。
它不是。
环0以下为环1,如果您正在运行虚拟机,则该虚拟机托管运行虚拟机的管理程序。环下面是环2,即EFI固件。只要你启动电脑,固件就会运行,甚至在它与你的驱动器握手之前。它也被称为“pre-boot环境。”
如果预引导环境被外部参与者破坏,后果可能会很严重。
EFI固件安全风险是什么?
您在系统特权层中的位置越低,您的权限和权限就越大隐形。低层不仅取代了高层,而且他们的行为也几乎无法被居住在高层的人察觉。
换句话说,如果你被泄露了,除了固件本身没有人会知道。在Ring -2中植入的rootkit将为攻击者提供访问您的计算机的“自助餐”。更糟糕的是,它超出了防病毒和反恶意软件运行的管辖范围。
例如,Thunderstrike允许黑客在您完全不知情的情况下进入您的系统或您计算机上的任何防御工具。rootkit本身除了提供初始访问权限和隐形斗篷外,几乎没有什么作用。然而,黑客可能会趁机向你的电脑中注入有效载荷。
我是否有过时的EFI固件的风险?
一般来说,不。至少,除非你是特定类型的目标。
那些面临过时固件被利用风险最大的人并不是像个人家庭用户、自由职业者或小企业主这样的“小人物”。事实上,如果你是这些类型的人,你没有理由担心。相反,它是管理大型企业IT部门和大型组织的人应该受到关注.
如果你正在运行一个大型企业或政府计算机网络,这种网络可能是民族国家行为体或行业竞争对手的目标,你最容易受到根级攻击。毕竟,您的系统足够重要,可以或多或少地防御来自其他有利位置的攻击。另一方面,如果你是一个家庭用户,你往往更容易受到更高级别的攻击。
像雷击这样的固件漏洞是很大的诱惑。它们非常难以实现,只有当系统在其他层面上都得到了很好的保护时才有用。因此,它们只是被用作追捕“大鱼”的最后手段。
黑客还有很多其他更小、更容易使用的工具,可以用他们肮脏的小手染指你的电脑或网络。除非你的社会地位很高,否则你可能不会担心成为固件漏洞的受害者。毕竟,你那些使用个人电脑的朋友也是如此——如果不是的话更多的-他们的机器上有过时的固件!
如何更新我的Mac的EFI固件?
也就是说,如果你使用的Mac电脑可能会受到影响,你至少应该检查一下。Duo Labs进行了揭露这一问题的研究GitHub上的一个工具,允许用户快速轻松地检查Mac固件的状态,巧妙地命名为EFIgy.
如果您的iMac或MacBook尚未成功更新其EFI固件,您仍然可以尝试将手动操作系统更新应用到最新版本的OS 10.12.6,其中将包括最新固件版本的更新。如果由于硬件或软件不兼容的原因无法更新,或者由于这样或那样的原因无法更新到最新的固件,那么是时候考虑是否应该保留你的Mac了。
我应该留着我的Mac电脑吗?
是的,你应该。mac很棒。历史上从来没有人创造过一个防黑客的计算生态系统(将来也不会有人),在这方面,苹果的生态系统比其他很多选择都要好。
正如我们上面所阐述的,这些技巧虽然令人恐惧,但很难实现。它们只能作为妥协的工具高风险,高回报的目标.作为一名家庭用户或小企业主,99.999%的人很可能两者都不是。
换句话说,如果你个人或自由职业者使用mac电脑,或者在你的小公司里使用mac电脑,你可以对整个事情冷静下来。如果您处于一个更大、更重要的环境中,您甚至可以考虑用更新的型号替换受影响的机器。
当然,这种情况将来可能会改变。也许有些坏演员会想出一种方法,使固件黑客更容易被利用。也许是下一个WannaCry或者NotPetya将在预引导环境中使用漏洞(但可能不会)。但对于大多数情况下的大多数用户来说,这没什么值得大惊小怪的。苹果公司已宣布承诺将尽快解决这一问题。
