安全公司Duo Labs的研究人員分析了超過(guò)73000個(gè)Mac系統(tǒng)，并發(fā)現(xiàn)其中有大量的蘋(píng)果Mac電腦無(wú)法有效安裝針對(duì)DFI固件漏洞的修復(fù)補(bǔ)丁，或者說(shuō)其中的大部分Mac電腦壓根沒(méi)有接收到任何的更新提醒。

蘋(píng)果公司在Mac電腦上所使用的是由Intel設(shè)計(jì)的可擴(kuò)展固件接口（EFI），EFI運(yùn)行在比計(jì)算機(jī)操作系統(tǒng)和進(jìn)程管理程序更底層的地方，它負(fù)責(zé)控制計(jì)算機(jī)的啟動(dòng)引導(dǎo)進(jìn)程。

EFI的運(yùn)行優(yōu)先于macOS操作系統(tǒng)的啟動(dòng)，并且EFI擁有更高等級(jí)的權(quán)限。如果攻擊者可以利用EFI固件漏洞的話，他們將能夠利用EFI惡意軟件來(lái)控制目標(biāo)計(jì)算機(jī)，而且還不會(huì)被安全防護(hù)產(chǎn)品所檢測(cè)到。

Duo Labs的研究人員表示：“這種漏洞除了能夠允許攻擊者繞過(guò)更高級(jí)別的安全管理機(jī)制之外，攻擊EFI還可以更加方便攻擊者隱藏自己的惡意行為，并增加檢測(cè)的難度。（因此操作系統(tǒng)所顯示給你的EFI狀態(tài)信息是不可信的）除此之外，即便是用戶重裝了系統(tǒng)或者直接更換掉整塊硬盤(pán)，也仍不足以解決問(wèn)題。”

更糟糕的是什么？除了某些Mac電腦無(wú)法正常接收到EFI更新推送之外，當(dāng)接收到更新提醒的用戶由于技術(shù)原因無(wú)法正常安裝EFI更新時(shí)，蘋(píng)果甚至不會(huì)發(fā)出任何的警告提醒，從而導(dǎo)致現(xiàn)在有數(shù)百萬(wàn)的Mac用戶將面臨著各種復(fù)雜的高級(jí)持續(xù)性網(wǎng)絡(luò)攻擊威脅。

根據(jù)研究人員透露的數(shù)據(jù)，在目前全球的企業(yè)環(huán)境中有4.2%的Mac運(yùn)行著不同版本（不同硬件型號(hào)、操作系統(tǒng)版本以及EFI版本）的EFI固件，而這些Mac電腦早就應(yīng)該進(jìn)行升級(jí)更新了。更加恐怖的是，目前總共有43%的iMac電腦（21.5寸，出廠日期為2015年底）安裝的是存在漏洞的固件，而且至少有16款Mac電腦在Mac OS X 10.10和10.12.6正式發(fā)布時(shí)沒(méi)有收到過(guò)任何的EFI固件更新通知。

Duo的研究人員說(shuō)到：“在我們?cè)趯?duì)該漏洞進(jìn)行分析和研究的過(guò)程中，蘋(píng)果公司也已經(jīng)得到了關(guān)于這個(gè)EFI漏洞的詳細(xì)信息并著手進(jìn)行修復(fù)了，但是目前仍然有大量不同型號(hào)的Mac電腦沒(méi)有收到EFI更新提醒，但是它們卻能夠正常接收到其他的軟件安全更新。即使你運(yùn)行的是最新版本的macOS系統(tǒng)，并且安裝了所有已發(fā)布的安全更新補(bǔ)丁，我們的分析數(shù)據(jù)顯示這些Mac第難熬仍然無(wú)法抵御EFI固件更新。”

Thunderstrike攻擊起源于NSA

Duo的安全研究人員還發(fā)現(xiàn)，有47種不同型號(hào)的Mac電腦（運(yùn)行10.10、10.11和10.12版本的macOS）沒(méi)有收到針對(duì)已知漏洞Thunderstrike1的EFI固件更新。除此之外，還有31種型號(hào)的Mac電腦沒(méi)有接收到針對(duì)遠(yuǎn)程漏洞Thunderstrike 2的EFI固件更新。

Thunderstrike攻擊（主要依賴(lài)于舊版本固件）最初是由美國(guó)國(guó)家安全局（NSA）研發(fā)的，并且在WikiLeaks Vault 7數(shù)據(jù)泄露事件中被曝光。

關(guān)于受影響Mac型號(hào)的詳細(xì)信息請(qǐng)參考Duo Labs提供的安全分析報(bào)告：【點(diǎn)我查看】

根據(jù)研究人員透露的信息，他們的研究主要針對(duì)的是蘋(píng)果的Mac生態(tài)系統(tǒng)。眾所周知，Mac電腦的整個(gè)生態(tài)系統(tǒng)都是由蘋(píng)果公司一手掌控的，而且Mac電腦在全球所占的市場(chǎng)份額也在逐漸提升。即便如此，Duo此次所發(fā)現(xiàn)的EFI固件安全問(wèn)題卻不僅只有蘋(píng)果一家的產(chǎn)品存在，很多其他廠商的EFI固件中同樣存在類(lèi)似的安全問(wèn)題。

如果你的企業(yè)環(huán)境中使用了大量的Mac電腦，我們建議管理員盡快核查受影響的Mac電腦型號(hào)（參考Duo Labs的詳細(xì)研究報(bào)告），并盡快采取相應(yīng)措施。

除此之外，廣大Mac用戶和管理員請(qǐng)盡快使用免費(fèi)開(kāi)源工具EFIgy【點(diǎn)我下載】來(lái)檢查自己計(jì)算機(jī)的EFI版本是否為最新版本（蘋(píng)果公司即將推送EFI固件更新）。