В 2015 году стало известно о возможности буткит-атаки Thunderstrike на прошивку устройств Apple.
С тех пор компания начала включать исправления к прошивке EFI в регулярные обновления системы безопасности и программного обеспечения macOS, чтобы улучшить защиту аппаратной части.
Однако исследователи обнаружили, что многие из этих обновлений неполные. Как следствие, множество корпоративных рабочих станций Mac во всем мире полагаются на безнадежно устаревшие прошивки. Эта новость, не сулящая ничего хорошего предприятиям, дала зеленый свет продвинутым злоумышленникам — теперь они с еще большим упорством стремятся заполучить доступ к целевым системам на аппаратном уровне. Рич Смит (Rich Smith), руководитель исследовательской лаборатории Duo, и Пепайн Бриенн (Pepijn Bruienne), инженер этой лаборатории, выступили на ИБ-конференции Ekoparty, только что прошедшей в Аргентине, и представили свой отчет.
Extensible Firmware Interface (EFI) работает на более низком уровне, чем операционная система и гипервизоры, давая пользователям — и злоумышленникам — широчайшие привилегии. Атаки подобного уровня могут пережить перезагрузку системы и повторную заливку образа, давая долгосрочный доступ к компьютеру в рамках APT-кампаний.
Специалисты Duo сообщили, что они проанализировали версии сборки и аппаратные модели более чем 73 тыс. компьютеров Mac и сопоставили эти данные с версиями EFI, которые должны были на них работать. По оценкам Duo, в среднем 4,2% машин в производственной среде не имеют ожидаемой версии EFI. Некоторые модели Mac показали совсем пугающие результаты. Например, среди 21,5-дюймовых моделей iMac конца 2015 года в «отстающие» попали 43%. Также в Duo выяснили, что 16 комбинаций железа Mac и ОС ни разу не получали обновления прошивки в тот период, когда актуальными были OS X 10.10 и 10.12.6. Более подробная информация представлена в отчете.
Компания Apple согласилась с выводами Duo, и, по словам Смита и Бриенна, разработчики серьезно отнеслись к их исследованию. В настоящее время корпорация из Купертино пытается устранить факторы, которые привели к этой ситуации. Пока еще не опубликованы данные о том, связана ли проблема с организацией процесса обновлений или плохой видимостью на стороне производителя; также неизвестно, что именно будет предпринято для ее решения. К сожалению, эта проблема касается не только Apple. В своем докладе специалисты Duo заявили, что схожая ситуация должна наблюдаться также на системах Windows/Intel.
«Мы высоко ценим работу специалистов Duo над этой общеотраслевой проблемой и благодарны за то, что они отметили передовой подход компании Apple к решению этой проблемы, — комментируют представители IT-гиганта. — Компания Apple продолжает усердно работать над обеспечением безопасности прошивок и всегда ищет новые способы укрепить безопасность своих систем. Именно с этой целью в macOS High Sierra были введены автоматические еженедельные проверки прошивки Mac».
Смит и Бриенн отметили, что пользователи более новых версий macOS меньше отстают по версии прошивки, чем пользователи старых версий ОС. Смит предполагает, что после выпуска High Sierra (версии 10.13) компания Apple будет поддерживать ОС, начиная с версии 10.11, а версии 10.10 и более старые больше не будут получать обновления безопасности и прошивки EFI.
«Пересмотрев все обновления ОС и безопасности, начиная с 2015 года, мы убедились, что компания Apple перестала указывать, какая EFI-прошивка содержится в этих наборах. Текущая версия ОС всегда имеет новейшие обновления, в предыдущей их меньше, в более ранних — еще меньше», — сказал Бриенн. В поддержку этих слов Смит сообщил, что ОС версии 10.12.6 содержала 40 комплектов EFI, тогда как 10.11 получила 31 обновление, а 10.10, выпущенная в то же время, — лишь один комплект.
«Вероятно, в Apple есть какие-то свои расчеты или какое-то обоснование, — полагает Бриенн. — Нам непонятно, почему так сильно сокращаются объемы поддержки. Иными словами, если у вас не самая последняя ОС, вам грозит опасность».
«Реализация EFI не дает 100% гарантии и имеет свои недочеты, — прокомментировал Бриенн. — Из-за серьезности уязвимостей данная проблема очень актуальна, особенно для крупных организаций вроде Google или Facebook, которые могут стать целью упорных злоумышленников, готовых повозиться с атакой на EFI, чтобы закрепить свое присутствие».
Атака Thunderstrike и ее вариация, появившаяся позднее в 2015 году, наряду с двумя другими брешами — CVE-2015-4860 и VE-2016-7585, представляют большую угрозу для организаций, подверженных EFI-атакам. Согласно данным Duo, 47 моделей Mac не получили патч для защиты от атак Thunderstrike 1, и 31 модель — против Thunderstrike 2. Кроме того, 25 моделей Mac так не получили патч для CVE-2015-4860, и 22 модели — для CVE-2016-7585.
«В начале работы мне казалось очевидным, что если ты до сих пор получаешь программные обновления, то должен получать и обновления прошивки, — резюмирует Смит. — Я считал, что таким образом я актуализирую защиту всей системы, включая прошивку и прочие компоненты. Но из-за различных факторов, таких как разные модели Mac и версии основной ОС, это предположение, похоже, оказалось ошибочным».