Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware

804
17-10-2017
Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware

Mới đây, một nhóm nghiên cứu bảo mật Duo đã chứng minh được rằng có hàng triệu thiết bị máy tính Mac có bị ảnh hưởng bởi lỗ hổng trong phần mềm giao diện Firmware mở rộng (Extensible Firmware Interface –EFI).

Trong năm 2015, chuyên gia bảo mật Trammell Hudson đã chứng minh tại hội thảo máy tính Chaos ở Hamburg cách thức lây nhiễm cho máy tính Apple Mac qua việc khai thác cổng Thunderbolt. Kể từ khi lỗ hổng được phát hiện, nhà sản xuất Apple đã cung cấp gói cập nhật bảo mật cho Firmware và ứng dụng nhằm bảo vệ thiết bị khỏi lỗ hổng. Tuy nhiên, một nhóm chuyên gia bảo mật tại phòng nghiên cứu bảo mật Duo đã phát hiện ra rằng có rất nhiều thiết bị Mac vẫn đang có nguy cơ bị tấn công mặc dù đã cập nhật bản vá bảo mật từ Apple. Qua việc phân tích trên 73.000 thiết bị Mac, nhóm chuyên gia phát hiện ra rằng một số máy tính Mac đã cài đặt lỗi gói cập nhật bản vá bảo mật cho EFI Firmware hoặc không thể cái đặt bản vá bảo mật.

Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware - 1

 Theo báo cáo được đưa ra bởi nhóm chuyên gia có tới 4,2% máy tính Mac trên thế giới đang chạy sử dụng phiên bản EFI lỗi thời hoặc khác với phiên bản EFI mà nó nên chạy. Tình hình này còn đặc biệt nghiêm trọng với một số phiên bản máy tính Mac nhất định như máy tính iMac 21.5 inch đời cuối năm 2015 cho thấy tỷ lệ khác biệt là 43%. Các chuyên gia nhận thấy rằng có tới 16  sự kết hợp của phần cứng của thiết bị MAC và hệ điều hành chưa bao giờ nhận được bất kỳ một bản EFI Firmware update nào trong suốt thời gian hoạt đồng của hệ điều hành MacOS từ 10.10 đến 10.12. Tình hình càng trở nên tồi tệ hơn khi Apple thậm chí còn không cảnh báo với khách hàng của mình về việc cập nhật bảo mật cho EFI Firmware thất bại hoặc những vấn đề kỹ thuật xảy ra trong quá trình cài đặt đẫn đến hàng triệu người dùng thiest bị Mac có nguy cơ bị tấn công trên mạng.

Apple sử dụng giao diện Firmware mở rộng được thiết kế bởi Intel (Extensible Firmware Interface – EFI) cho máy tính Mac và nó được chạy trước khi hệ điều hành macOS được nạp và có những đặc quyền cao nhất. Một EFI độc hại được sử dụng bởi kẻ tấn công có thể kiểm soát toàn bộ thiết bị mà không bị phát hiện. Ngoài khả năng vượt qua và phá vỡ những cấu trúc an ninh cấp cao hơn, tấn công EFI cũng làm cho kẻ tấn công khó bị phát hiện cũng như khố bị loại bỏ - việc cài đặt một hệ điều hành mới hoặc thậm chi thay thế ổ cứng mới cũng không gỡ bỏ được EFI độc hại.

Hàng triệu máy tính Mac có nguy cơ bị tấn công bởi lỗ hổng trong EFI Firmware - 2

Mặc dù nhà sản xuất đã cung cấp những bản vá bảo mật cho EFI trong thời gian phân tích của nhóm chuyên gia, tuy nhiên đẫ có nhiều phiên bản máy tính Mấc không nhật được một bản cập nhật phần mềm nào. Đặc biệt, ngay cả khi người dùng đang chạy phiên bản mới nhất của hệ điều hành macOS và đã cài đặt tất cả các bản vá bảo mật do nhà sản xuất cung câp thì người dùng vẫn đứng trước nguy cơ bị tấn công trên mạng. Nhóm chuyên gia đã phát hiện ra 47 phiên bản máy tính Mac đang chạy hệ điều hành MacOS 10.12, 10.11, 10.10 không nhận được bản cập nhật bảo mật cho lỗ hổng Thunderstrike 1. Trong khi 31 phiên bản máy tính Mac không nhận được bản cập nhật bảo mật cho lỗ hổng Thunderstrike 2.

Những cuộc tấn công Thunderstrike đầu tiên được thực hiện bởi cơ quan An ninh quốc gia mỹ (NSA). Thông qua tài liệu bị rò rỉ cho thấy NSA đã phát triển một dự án có tên là “Sonic Screwdriver” cho phép chiếm quyền máy tính Mac thông qua một thiết bị USB. Kỹ thuật này cho phép kẻ tấn công chạy mã độc hại thông qua thiết bị ngoại vi như USB ngay cả khi máy tính Mac có sử dụng mật khẩu khởi động firmware.

Để phát hiện máy tính của bạn đã cập nhật bản vá mới nhất của EFI cho hệ thống hay chưa, người dùng có thể sử dụng công cụ được phát triển bới nhóm chuyên gia nghiên cứu của phòng nghiên cứu bảo mật Duo tại địa chỉ: https://github.com/duo-labs/EFIgy.

>>Xem thêm: Ứng dụng GO Keyboard thu thập dữ liệu của 200 triệu thiết bị Android

SHARE