Οι Apple Mac υπολογιστές έχουν χτυπηθεί από ransomware και είναι απροστάτευτοι.
Οι ερευνητές ασφάλειας του διαδικτύου ισχυρίζονται ότι έχουν ανακαλύψει ένα νέο ransomware που επηρεάζει το υλικολογισμικό (firmware) των υπολογιστών Apple Mac.
Οι δυνητικά ανησυχητικές ειδήσεις που αφορούν τους πελάτες της Apple, εμπειρογνώμονες από την Duo Security έχουν προειδοποιήσει ότι οι χρήστες Mac που έχουν ενημερώσει την τελευταία έκδοση του MacOS ή έχουν λάβει την πιο πρόσφατη ενημερωμένη έκδοση ασφαλείας, ίσως να μην είναι τόσο ασφαλείς όσο νόμιζαν.
Η εταιρεία ανέλυσε πάνω από 73.000 υπολογιστικά συστήματα Mac από χρήστες σε όλο τον κόσμο, ανακαλύπτοντας ένα πρόβλημα με το Extensible Firmware Interface (EFI) που βρέθηκε σε μηχανήματα Mac, το οποίο, σύμφωνα με το Duo Security, στην πραγματικότητα αντί να προστατευτούν με τις καινούργιες ενημερώσεις ασφαλείας, συνέβη το ακριβώς αντίθετο.
Αυτό σήμαινε ότι οι χρήστες παρέμειναν επιρρεπείς σε μια σειρά από σημαντικές απειλές για την ασφάλεια, οι οποίες θα μπορούσαν να έχουν δώσει στους εγκληματίες πρόσβαση σε αρχεία ή λογαριασμούς του θύματος.
Λόγω της πολυπλοκότητας που απαιτείται για την εκτέλεση της επίθεσης, οι χρήστες που εργάζονται με ιδιαίτερα ευαίσθητες πληροφορίες ή έχουν σημαντικά προφανής ευπάθειες ασφαλείας είναι πιο συχνά στοχευμένοι με αυτό το είδος προηγμένου κώδικα επίθεσης και επομένως είναι στο έλεος των κακοποιών στον κυβερνοχώρο.
Η Apple πάντα υπερηφανεύεται για τη δύναμη της προστασίας που έχουν όλες οι συσκευές και τα μηχανήματά τους, λέγοντας με υπερηφάνεια πως τα λειτουργικά συστήματα των κινητών τηλεφώνων και του υπολογιστή είναι συνήθως ανθεκτικά σε πολλές μεγάλες απειλές στο διαδίκτυο.
“Το υλικολογισμικό είναι ο θεμέλιος λίθος και συνάμα ζωτικής σημασίας στοιχείο για την δομή ασφάλειας ενός συστήματος”, δήλωσε ο Rich Smith, Duo διευθυντής έρευνας και ανάπτυξης.
“Ο περίπλοκος και στοχευμένος χαρακτήρας των επιθέσεων υλικολογισμικού θα πρέπει να αφορά ιδιαίτερα όσους έχουν υψηλότερη διαβάθμιση ασφαλείας ή πρόσβαση σε ευαίσθητες πληροφορίες στους αντίστοιχους οργανισμούς τους. Η χειρότερη δυνατή κατάσταση για τους χρήστες είναι να έχουν την ψευδαίσθηση πως είναι ασφαλείς μετά την ενημέρωση του συστήματός τους, όταν η πραγματική στάση ασφαλείας τους είναι πολύ διαφορετική από ό, τι τελικά πιστεύουν ότι είναι “.
Το Duo Security προτρέπει τώρα τους χρήστες να είναι προσεκτικοί και να διασφαλίζουν ότι η συσκευή τους ενημερώνεται με την τελευταία προστασία της ασφάλειας. Οι χρήστες θα πρέπει επίσης να ελέγξουν εάν το μοντέλο τους είναι μεταξύ εκείνων που επηρεάζονται – με την πιο ακραία λύση που ενδεχομένως απαιτεί να αντικαταστήσουν την υπάρχουσα συσκευή με ένα εντελώς νέο μοντέλο.
Γιατί η ενημέρωση του υλικολογισμικού σας είναι σημαντική;
Το firmware EFI (η υλοποίηση της Unified Extensible Firmware Interface από την Intel – UEFI) υπάρχει σε όλους τους υπολογιστές Mac. Γεφυρώνει το υλικό, το υλικολογισμικό και το λειτουργικό σύστημα του συστήματος, ώστε να μπορεί να ξεκινήσει από την ενεργοποίηση έως την εκκίνηση του λειτουργικού συστήματος.
Οι γνωστές επιθέσεις κατά του ευάλωτου υλικολογισμικού EFI περιλαμβάνουν Thunderstrike 1, Thunderstrike 2 , Sonic Screwdriver και Direct Memory Access .
“Σε ένα σύγχρονο σύστημα, το περιβάλλον της EFI κατέχει ιδιαίτερη γοητεία για τους ερευνητές και τους επιτιθέμενους ασφαλείας, λόγω του προνομιακού επιπέδου που προσφέρει, αν ο συμβιβασμός είναι επιτυχής», εξήγησαν οι ερευνητές.
“Το EFI μιλάει συχνά ότι λειτουργεί σε επίπεδο δακτυλίου προνομίου -2, το οποίο δείχνει ότι λειτουργεί σε χαμηλότερο επίπεδο από ό, τι τόσο το OS (δακτύλιος 0) όσο και οι hypervisors (δακτύλιος -1). Με λίγα λόγια, αυτό σημαίνει ότι η επίθεση στο επίπεδο EFI σας δίνει τον έλεγχο ενός συστήματος σε επίπεδο που σας επιτρέπει να παρακάμψετε τους ελέγχους ασφαλείας που εφαρμόζονται σε υψηλότερα επίπεδα, συμπεριλαμβανομένων των μηχανισμών ασφαλείας του λειτουργικού συστήματος και των εφαρμογών.
Επιπλέον, όταν ένα σύστημα έχει συμβιβαστεί με αυτόν τον τρόπο, είναι δύσκολο να το καθαρίσετε. Ακόμη και το σκούπισμα του σκληρού δίσκου εντελώς δεν θα αφαιρέσει αυτό το είδος συμβιβασμού, επεσήμαναν.
Αποτελέσματα έρευνας
Οι έρευνες έχουν περάσει τους τελευταίους μήνες αναλύοντας περισσότερα από 73.000 συστήματα Mac που αναπτύχθηκαν σε οργανισμούς σε διάφορες βιομηχανικές κατακόρυφες περιοχές και διαπίστωσαν ότι το 4,2% εκτελούσε εκδόσεις του firmware που δεν ταιριάζουν με τις εκδόσεις που θα περιμέναμε να τις ανοίξουν σε ευπάθειες που έχουν δημοσιοποιηθεί.
“Το επίπεδο διαφοράς αυξήθηκε σημαντικά πάνω από το μέσο όρο για ορισμένα μοντέλα Mac, με το υψηλότερο να είναι το 43,0% για το μοντέλο iMac 21,5” αργά το 2015, όπου 941 από τα 2190 συστήματα πραγματικού κόσμου εκτελούσαν λανθασμένες εκδόσεις του firmware EFI “.
“Το μέγεθος αυτής της απόκλισης είναι κάπως περίεργο, δεδομένου ότι η τελευταία έκδοση του firmware EFI πρέπει να εγκατασταθεί αυτόματα παράλληλα με τις ενημερώσεις λειτουργικού συστήματος. Ως εκ τούτου, μόνο υπό εξαιρετικές συνθήκες θα πρέπει η εκδοχή EFI να μην αντιστοιχεί στην έκδοση EFI που κυκλοφόρησε με την έκδοση λειτουργικού συστήματος που εκτελείται. ”
Η Apple άρχισε να απελευθερώνει τις ενημερώσεις EFI που συνοδεύουν το λειτουργικό σύστημα και τις ενημερώσεις ασφαλείας το 2015. Η υποστήριξη ασφαλείας που παρέχεται για το firmware της EFI εξαρτάται από το μοντέλο υλικού ενός Mac, καθώς και από την έκδοση του λειτουργικού συστήματος που λειτουργεί. Θεωρητικά, όλα τα μηχανήματα θα πρέπει να λαμβάνουν αυτόματα τις τελευταίες ενημερώσεις EFI, αλλά αυτή η έρευνα έχει αποδείξει ότι η διαδικασία δεν είναι αλάνθαστη.
“Ο πλήθος των επηρεαζόμενων συστημάτων παράλληλα με τον τρόπο με τον οποίο συσσωρεύονται ανάλογα με την έκδοση λειτουργικών συστημάτων και υλισμικού, μας δίνει την πεποίθηση ότι οι ανωμαλίες δεν είναι καθαρά αποτέλεσμα σφάλματος χρήστη εκ μέρους των ιδιοκτητών του συστήματος και στην πραγματικότητα αντικατοπτρίζουν κάποιες είδος αποτυχίας στον τρόπο που έχουν εγκατασταθεί οι ενημερώσεις υλικολογισμικού EFI “, σημείωσαν. “Όχι κάθε μέθοδος ενημέρωσης του OS X / macOS είναι ισοδύναμη και ορισμένες μέθοδοι φαινομενικά δεν είναι σε θέση να ενημερώσουν το firmware της EFI.”
Δυστυχώς, οι χρήστες και οι διαχειριστές δεν ενημερώνονται εάν αποτύχει η διαδικασία ενημέρωσης EFI. “Η ενοποίηση αυτού του ζητήματος περαιτέρω είναι ότι χωρίς να εκτυπώσετε χειροκίνητα ένα πακέτο ενημέρωσης λειτουργικού συστήματος και γνωρίζοντας τις εντολές χωρίς εντολή που πρέπει να εκτελέσετε για να ενημερώσετε μια εικόνα υλικολογισμικού EFI, δεν υπάρχει κανένας επίσημος τρόπος ενημέρωσης της εικόνας EFI χωρίς πλήρη επανεγκατάσταση της ενημερωμένης έκδοσης OS, “Πρόσθεσαν.
Τι μπορείς να κάνεις;
Ο Rich Smith, Διευθυντής Ε & Α στο Duo Security, συμβουλεύει τους χρήστες Mac και τους διαχειριστές να ελέγξουν εάν εκτελούν την τελευταία έκδοση του EFI για τα συστήματά τους. Μπορούν να το κάνουν χρησιμοποιώντας το EFIgy, ένα δωρεάν εργαλείο ανοιχτού κώδικα το οποίο σύντομα θα διατεθεί από την εταιρεία.
Επίσης συνιστά την ενημέρωση στο macOS 10.12.6 ή νεότερη έκδοση. “Αυτό όχι μόνο θα σας δώσει τις τελευταίες εκδόσεις του firmware EFI που κυκλοφόρησε η Apple, αλλά και να βεβαιωθείτε ότι έχετε επιδιορθώσει και τα γνωστά θέματα ασφάλειας λογισμικού”, τόνισε.
Εάν, για λόγους υλικού, δεν μπορείτε να το κάνετε αυτό, μπορεί να έχετε τύχη και να μην μπορείτε να εκτελέσετε το πιο ενημερωμένο firmware της EFI. Σε αυτή την περίπτωση, θα πρέπει να εξετάσετε τη χρήση του EFIgy για να ελέγξετε εάν η τρέχουσα έκδοση του EFI εκτίθεται σε μια ευρέως γνωστή ευπάθεια EFI (αυτή η λειτουργία θα κυκλοφορήσει σύντομα, λέει ο Smith).
“Καθώς αυτές οι επιθέσεις είναι αυτές που χρησιμοποιούνται από εξελιγμένους αντιπάλους, είναι σημαντικό να καταλάβουμε αν εσείς ή η οργάνωσή σας είναι αυτή που περιλαμβάνει αυτό το είδος αντιπάλου στο μοντέλο απειλής σας. Εάν θεωρείτε ότι οι προληπτικές επιθέσεις είναι κάτι για το οποίο προστατεύετε προληπτικά, αξίζει να εξεταστεί πώς ένα σύστημα με συμβιβασμένο EFI θα μπορούσε να επηρεάσει το περιβάλλον σας καθώς και πώς θα μπορέσετε να βεβαιώσετε την ακεραιότητα του υλικολογισμικού EFI των Mac . Σε πολλές περιπτώσεις, οι απαντήσεις σε αυτά τα ερωτήματα θα ήταν «άσχημα» και «πιθανώς δεν θα μπορούσαμε», “σημείωσε.
“Σε αυτές τις περιπτώσεις, αξίζει να αναλογιστούμε την αντικατάσταση των Mac που δεν μπορούν να επικαιροποιήσουν το υλικολογισμικό EFI ή να μετακινηθούν σε άλλα μηχανήματα όπου δεν εκτίθενται σε επιθέσεις EFI (φυσική ασφάλεια, ελεγχόμενη πρόσβαση στο δίκτυο). Ενώ οι επιθέσεις EFI θεωρούνται τόσο εξελιγμένες όσο και στοχοθετημένες, ανάλογα με τη φύση της εργασίας που έχει κάνειο πάροχος σας και την αξία των δεδομένων στα οποία εργάζεστε, είναι πολύ πιθανό οι επιθέσεις EFI να εμπίπτουν στο μοντέλο που έχετε στην κατοχή σας. Από την άποψη αυτή, η ευπάθεια στα ζητήματα ασφάλειας της EFI θα πρέπει να έχει το ίδιο βάρος με την ευπάθεια στα θέματα ασφάλειας λογισμικού. Θα χρειαστεί να διαπιστώσετε αν μπορείτε να δεχτείτε τον κίνδυνο να έχετε ευάλωτα (και δυνητικά αδιαχώριστα) συστήματα στο περιβάλλον σας.
Η λευκή ετικέτα που περιγράφει λεπτομερώς την έρευνα περιλαμβάνει επίσης μια κοκκώδη κατανομή των συστημάτων Mac που εκτελούν απροσδόκητες εκδόσεις υλικολογισμικού, καθώς και λίστα μοντέλων που δεν είχαν ενημερώσεις EFI μεταξύ των εκδόσεων του λειτουργικού συστήματος 10.10.0 έως 10.12.6.
Τι κάνει η Apple γι ‘αυτό;
Οι ερευνητές μοιράστηκαν τα ευρήματά τους με την Apple, έδωσαν τις προεπισκοπήσεις του εγγράφου και έκαναν τα ακατέργαστα δεδομένα διαθέσιμα σε αυτά.
“Οι αλληλεπιδράσεις με την Apple ήταν πολύ θετικές και φαινόταν να εκτιμούν πραγματικά το έργο και να συμφωνούν με τις μεθοδολογίες, τα ευρήματά μας και τα συμπεράσματά μας”, δήλωσε ο Smith στο Help Net Security.
“Παρά τα ζητήματα που βρήκαμε, πιστεύουμε αληθινά ότι η Apple έχει το προβάδισμα όσον αφορά τη σοβαρή αντιμετώπιση της ασφάλειας της EFI. Έχουν συνεχίσει να προχωρούν με την κυκλοφορία του macOS 10.13 (High Sierra). Έχουν μια ομάδα ασφάλειας firmware παγκόσμιας κλάσης και είμαστε ενθουσιασμένοι που βλέπουμε τις νέες προσεγγίσεις ασφάλειας που θα λάβουν στο μέλλον για να διατηρήσουν το περιβάλλον EFI ακόμα πιο ασφαλές”.