Новая исследовательская работа от Duo Security, опубликованная в Ars Technica, показывает, что значительное число Mac использует устаревшие версии EFI, что делает их уязвимыми к критическим эксплойтам прошивки до загрузки системы.

Фирма по безопасности проанализировала 73 324 Mac, используемых в производственных средах, и обнаружила, что в среднем 4,2 процента систем использовали некорректную версию EFI относительно модели и версии установленной macOS или OS X.

Процент некорректных версий EFI сильно варьируется в зависимости от модели. iMac 21,5 дюйма конца 2015 года имел наибольшее число некорректных прошивок EFI: 43 процента систем работали на некорректных версиях.

EFI, что расшифровывается как Extensible Firmware Interface (Расширяемый Интерфейс Микропрограмм), связывает аппаратное обеспечение Mac, прошивку и операционную систему, чтобы enable’ить переход от включения питания к загрузке macOS. EFI работает на более низком уровне, чем операционная система и гипервизоры, предоставляя злоумышленникам больший контроль.

Успешная атака на реализацию UEFI системы предоставляет злоумышленнику мощные возможности в плане скрытности, устойчивости и прямого доступа к оборудованию, причем независимо от ОС и VMM.

Duo Security обнаружила, что 47 моделей, способных работать под управлением OS X Yosemite, OS X El Capitan или macOS Sierra, например, не имели патча безопасности EFI для эксплойта Thunderstrike, обнародованного почти три года назад.

В исследовательской работе отмечается, что существует что-то, что мешает установке встроенных обновлений EFI вместе с macOS, в то время как некоторые Mac вообще не получали обновлений EFI, но точная причина неизвестна.

Похоже, что-то мешает процессу установки встроенных обновлений прошивки EFI, из-за чего системы работают на старых версиях EFI. Мы не можем назвать точную причину, но существуют значительные расхождения между версией прошивки, которая фактически работает на реальных производственных системах, и той версией, которая должна работать, учитывая сборку ОС. Это означает, что даже если ваш Mac по-прежнему получает поддержку патчей безопасности, существует немалая вероятность того, что ваша система не работает на последней версии, хотя вы думали, что она установлена.

Хотя исследовательская работа фокусируется на Apple, Duo Security заявила, что аналогичные, если не худшие, проблемы с EFI, вероятно, затрагивают ПК под управлением Windows или Linux.

В ответ на исследовательскую работу Apple заявила, что ценит исследования по этой проблеме, затрагивающей всю отрасль, и отметила, что macOS High Sierra еженедельно автоматически проверяет EFI Mac, чтобы убедиться, что оно не было изменено.

Мы ценим работу Duo над этой проблемой, затрагивающей всю отрасль, и отмечаем ведущий подход Apple к решению этой задачи. Apple продолжает усердно работать в области безопасности прошивок, и мы всегда ищем способы сделать наши системы еще более безопасными. Чтобы обеспечить более безопасный и надежный опыт в этой области, macOS High Sierra еженедельно автоматически проверяет прошивку Mac.

В связанной записи в блоге Duo Security сообщила, что пользователи должны проверить, работают ли на их Mac последние версии EFI, и выпустила инструмент для этого. Также рекомендуется обновиться до последней версии macOS High Sierra.