Hàng triệu máy Mac cập nhật rồi vẫn có thể bị tấn công qua firmware EFI

“Luôn giữ hệ điều hành và phần mềm cập nhật mới nhất” là một trong những lời khuyên phổ biến và quan trọng nhất mà các chuyên gia bảo mật vẫn đưa ra để tránh bị tấn công mạng.

Nhưng ngay cả khi đã cố cập nhật mọi phần mềm cho thiết bị của mình, vẫn có khả năng máy tính của bạn đã lỗi thời và dễ bị tấn công.

Các nhà nghiên cứu đến từ công ty công nghệ Duo Labs đã phân tích hơn 73.000 máy Mac và phát hiện ra rằng nhiều máy tính Mac của Apple hoặc là không thể cài bản vá lỗ hổng trên firmware EFI hoặc không hề nhận được cập nhật nào cả.

Apple sử dụng Extensible Firmware Interface (EFI) được Intel thiết kế trên các máy tính Mac, làm việc ở mức độ thấp hơn OS và máy ảo trên máy tính - và kiểm soát quá trinh boot. EFI chạy trước khi macOS boot và có quyền cao hơn. Nếu bị tấn công, hacker có thể dùng EFI malware để kiểm soát mọi thứ mà không bị phát hiện.

Tệ nữa là ngoài việc lờ đi cập nhật EFI trên một số máy, Apple cũng không cảnh báo người dùng khi quá trình cập nhật bị lỗi, khiến hàng triệu người dùng Mac có thể bị tấn công.

Duo nói rằng trung bình 4,2% trong số 73.324 máy Mac được dùng trong doanh nghiệp chạy bản firmware EFI họ không nên chạy, dựa trên phần cứng, bản OS và bản EFI phát hành cho OS đó.

Dù đã cố cập nhật tất cả nhưng không có nghĩa là bạn được an toàn
Dù đã cố cập nhật tất cả nhưng không có nghĩa là bạn được an toàn

Bạn sẽ bất ngờ khi biết 43% model iMac (21,5’’ cuối năm 2015) được phân tích đang chạy firmware cũ, không an toàn và ít nhất 16 model Mac chưa từng được cập nhật firmware RFI khi phát hành Mac OS X 10.10 và 10.12.6.

“Ngay cả khi bạn đang chạy bản mới nhất của macOS và cài bản vá mới nhất được phát hành, dữ liệu của chúng tôi cho thấy vẫn có khả năng firmware EFI bạn đang chạy không phải bản mới nhất”, Duo cho hay.

Duo phát hiện ra 47 model đang chạy các bản macOS 10.12, 10.11 và 10.10 không nhận được cập nhật firmware EFI với bản vá cho lỗ hổng Thunderstrike 1, 31 model không nhận được bản vá cập nhật lỗi Thunderstrike 2. Tấn công Thunderstrike ban đầu được NSA dùng, cũng có trong vụ rò rỉ dữ liệu WikiLeaks Vault 7 và cũng có nhắc tới việc vụ tấn công dựa trên firmware cũ.

Thông tin chi tiết về các máy Mac có thể tìm thấy tại báo cáo của Duo Labs tại đây https://duo.com/assets/ebooks/Duo-Labs-The-Apple-of-Your-EFI.pdf

Theo Duo Labs, nghiên cứu của họ tập trung vào hệ sinh thái Mac vì ở mức độ nào đó, Apple cũng có vị thế độc nhất trong việc kiểm soát toàn bộ môi trường sinh thái đó, nhưng cũng có thể bị tấn công. “Chúng tôi cho rằng vấn đề chính mà chúng tôi tìm ra có ảnh hưởng tới tất cả những công ty nào sử dụng firmware EFI chứ không chỉ mình Apple”.

Người dùng Mac cũng có thể kiểm tra xem mình đã dùng bản mới nhất của EFI chưa bằng công cụ mã nguồn mở EFIgy. https://github.com/duo-labs/EFIgy

 

 

Thứ Bảy, 30/09/2017 12:53
  • 99