От этой угрозы Вас не спасет ни один антивирус

админка Extensible Firmware Interface (EFI)

Любой эксперт по кибербезопасности скажет вам, что Вы сколько угодно можете обновлять операционную систему и находящиеся на ней программы, но это не убережет Ваш компьютер от взлома, если Вы не обновите прошивку.

Именно прошивка контролирует все: от веб-камеры ПК до его трекпада. Обновление прошивки очень важно, так как она загружается еще до операционной системы.

Одни из последних исследований показали, что наиболее важные элементы миллионов прошивок Mac не получают обновлений. И происходит это не по вине ленивых пользователей, которые пренебрегают их установкой, а потому что прошивки Apple часто терпят неудачу без какого-либо уведомления пользователя.

На конференции по безопасности Ekoparty компания Duo предоставила исследование того, как она углубилась в десятки тысяч компьютеров для измерения реального состояния, так называемого расширяемого интерфейса прошивки Apple или EFI.

Extensible Firmware Interface (EFI) — это прошивка, которая запускается до загрузки операционной системы вашего ПК. Его основное предназначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. EFI предназначен для замены BIOS — интерфейса, который традиционно используется всеми IBM PC-совместимыми персональными компьютерами.

Получив к нему доступ, можно получить контроль практически над всем, что происходит на вашем компьютере. Исследователи компании Duo обнаружили, что даже Mac с обновленными операционными системами часто имеют намного более старый код EFI из-за того, что Apple либо пренебрегает выпуском обновлений EFI для этих машин, либо не может предупредить пользователей, когда в обновлении прошивки произошел технический сбой.

На некоторых моделях ноутбуков Apple и настольных компьютеров почти треть или половина компьютеров имеют версии EFI, которые не поспевают за обновлениями операционной системы. Для многих моделей Apple вообще не выпустила новых обновлений прошивки, оставив подмножество компьютеров Apple уязвимым для известных летних атак EFI, которые могли бы получить глубокий и постоянный контроль над машиной жертвы.

Вместо решения этой проблемы постоянно повторяется одна и та же мантра: «патч, патч, патч. Если Вы его установите, то Ваш компьютер станет работать быстрее и проч.»

Директор по исследованиям Duo Рич Смит сообщил:
«Мы видим случаи, когда пользователи следовали рекомендациям Apple и устанавливали эти исправления. Им не приходило никаких предупреждений о том, что они все еще запускают неправильную версию EFI …».
Прошивка может стать слабым звеном в Вашей информационной безопасности, и Вы не будете об этом знать.

Код под кодом

Современная компьютерная EFI, например BIOS на старых компьютерах, представляет собой эмбриональный код, который сообщает компьютеру, как запускать свою собственную операционную систему. Это делает его привлекательной целью для хакеров: усилить контроль над EFI компьютера.

Спецслужбы уже продемонстрировали такие возможности. Согласно секретной документации, просочившейся в немецкий журнал «Шпигель» и Викиликс злоумышленник может устанавливать вредоносное ПО, которое существует вне операционной системы.

Запуск антивирусного сканирования не обнаружит его, и даже очистка всего накопителя на компьютере не приведет к его устранению.

Итак, Duo поставила перед собой задачу оценить, насколько настойчиво обновляется чувствительный код, лежащий в основе MacOS от Apple. Важно отметить, что исследователи выбрали Apple просто потому, что ее контроль как аппаратного, так и программного обеспечения сделал его намного проще для компьютеров, чем для ПК с ОС Windows или Linux, а не потому, что есть основания полагать, что компания менее осторожно относится к своей прошивке, чем другие производители компьютеров.

За последние месяцы кампания тщательно проанализировала 73 000 машин Apple, используемых его клиентами и отобранных из других корпоративных сетей. Затем он сузил эту коллекцию примерно до 54 000 компьютеров, достаточно новых, чтобы активно поддерживать Apple, и сравнивала версию прошивки каждого компьютера с версией, которая должна соответствовать установленной версии операционной системы.

4,2% тестируемых компьютеров Mac имели неправильную версию EFI для своей версии операционной системы. Это при том, что они устанавливали обновление программного обеспечения, которое каким-то образом не смогло обновить EFI.

Для некоторых конкретных моделей результаты были намного хуже: для одного настольного компьютера iMac, модели экрана на 21,5 дюйма в конце 2015 года, исследователи обнаружили, что не удалось обновить EFI в 43% машин. И три версии 2016 Macbook Pro имели неправильную версию EFI для версии своей операционной системы в 25-35% случаев, предполагая, что у них слишком серьезные показатели сбоя обновления EFI.

Исследователи Duo говорят, что они не могут определить, почему Mac не получают обновлений. Как и обновления операционной системы, обновления прошивки иногда терпят неудачу из-за сложной установки на стольких разных компьютерах. Но в отличие от сбоя обновления операционной системы, сбой обновления EFI не вызывает никаких предупреждений для пользователя. «Мы не знаем, почему все обновления EFI не принимаются, мы знаем, что это не так», — говорит Смит Дуо. «И если это не сработает, конечный пользователь никогда не будет уведомлен».

Дыры в патчах

Насколько часто эти неудачные обновления прошивки оставляли Mac открытыми для известных технологий взлома EFI, не совсем ясно — анализ исследователей неудавшихся обновлений не зашел так далеко, чтобы количественно определить, сколько из этих глюков оставили компьютеры уязвимыми для конкретных атак.

Но зато они убедились, что Apple исправила четыре разных метода взлома EFI, представленные в предыдущих исследованиях безопасности. Исследователи обнаружили, что компания просто не выпускала обновления от этих атак вообще для десятков старых моделей компьютеров Mac, даже, если они пытались обновить операционные системы своих ПК.

По словам исследователей, для одной атаки, известной как Thunderstrike, которая иногда использовалась ЦРУ для установки программ-шпионов на внутренних компьютерах-жертвах, согласно последним сообщениям Викиликс, 47 моделей ПК не получили исправлений для предотвращения атаки. Это может быть частично связано с аппаратными ограничениями этой атаки Thunderstrike, считают исследователи, учитывая, что для хакера необходим физический доступ к порту Thunderbolt целевого компьютера, который не хватает многим старым Mac. Но они также обнаружили, что 31 модель Mac не получила исправлений от другой атаки, известной как Thunderstrike 2, более развитая техника инфекции EFI, которая может выполняться удаленно. Duo выпустила инструмент с открытым исходным кодом для проверки версии прошивки вашего Mac и выявления уязвимостей. Скачать его можно здесь.

«Это большая опасность, — говорит Томас Рид (Thomas Reed), глава исследования Apple в компании Security MalwareBytes. «Нехорошо видеть, что на этих машинах оставлены уязвимые версии прошивки. Потенциал для этих компьютеров может быть вызван вредоносным ПО, которое проверяет Вашу EFI, и, если оно уязвимо, взломает его, чтобы получить что-то постоянно установленное».

Проблемы не только с Apple

Когда WIRED обратился к Apple за комментариями, он не оспаривал выводы Duo, которые Duo поделилась с Apple в июне. Но пресс-секретарь указал на особенность своей новой версии MacOS, High Sierra, которая проверяет еженедельную EFI компьютера, чтобы убедиться, что она не была каким-то образом повреждена. «Чтобы обеспечить наибольшую безопасность, macOS High Sierra автоматически проверяет прошивку Mac каждую неделю», — говорится в заявлении. «Apple продолжает усердно работать в области безопасности прошивок и мы постоянно ищем способы, чтобы сделать наши системы еще более безопасными.»

Хотя эта функция High Sierra знаменует собой существенное улучшение безопасности EFI от Apple, она не применяется к более старым операционным системам или полностью устраняет проблему, отмечает Duo: эта функция предназначена для взлома EFI, а не прошивки, устаревшей или обновление не выполнено.

Позже специалист отдела безопасности EFI Apple Ксено Кова написал в своем твитере, что согласен с результатами исследования компании Duo. Спустя какое-то время он удалил этот твит, так как это бы очень сильно повлияло на стоимость акций Эпл.

Есть основания полагать, что производители других компьютеров не оказались более продвинутыми в этом вопросе. Исследователи предупреждают, что они не смогли проанализировать состояние EFI компьютеров Windows или Linux, собранных Dell, HP, Lenovo, Samsung или любых других брендов, так как каждая из EFI этих компьютеров будет зависеть от изготовителя оборудования. Чтобы их проверить нужно, проводить анализ для каждой сборки отдельно. Соответственно и обновлять такие компьютеры тоже сложнее. Это означает, что EFI этих машин находится в еще худшем состоянии, учитывая, что пользователям ПК часто предлагается обновить свою операционную систему отдельно от их прошивки, причем каждое обновление поступает из разных источников. «Я подозреваю, что эта проблема во многих случаях более серьезная в Windows, чем Mac», — говорит Рид MalwareBytes.

Все это означает, что выводы Duo не указывают на проблему Apple или даже на проблему EFI, а также на серьезную проблему с прошивкой.

Если Вы противостоять шпионажу в глобальных масштабах, то Вам необходимо подумать о безопасности прошивки, а также о программном обеспечении. Только в этом случае можно создать компьютер, защищенный от современных кибератак.