Global Preloader
Vulnerabilidad
(28/Sep/2017) Macs no reciben actualizaciones de seguridad para Firmware EFI

Macs no reciben actualizaciones de seguridad para Firmware EFI

Desde que los ataques Thundertrike dirigidos al firmware de Apple fueron revelados en 2015, Apple ha incluido actualizaciones EFI posteriores con sus actualizaciones regulares de seguridad y software macOS en un intento por mejorar la protección de su hardware.

Sin embargo, los investigadores de Duo Security han descubierto que muchas de esas actualizaciones están incompletas y que las flotas de Mac que se ejecutan en empresas de todo el mundo pueden estar lamentablemente obsoletas cuando se trata de actualizaciones de firmware.

EFI, o la interfaz de firmware extensible, opera a un nivel inferior al sistema operativo e hipervisores, proporcionando amplios privilegios a los usuarios y atacantes. Ataques a este nivel a menudo sobreviven reboots y reimaging, dando APT en particular, el acceso prolongado a una computadora.

Duo dijo que analizó datos como la versión de compilación y el modelo de hardware de más de 73.000 Mac, y comparó esa información con las respectivas versiones de EFI que deberían estar funcionando. En promedio, dijo Duo, el 4,2 por ciento de las máquinas en entornos de producción no coincidían con las esperadas versiones de EFI. Los números eran mucho peores para modelos Mac particulares; el iMac 21.5 pulgadas de finales de 2015, por ejemplo, estaba en una discrepancia del 43 por ciento. Duo también dijo que 16 combinaciones de hardware Mac y sistemas operativos nunca habían recibido una actualización de firmware durante el tiempo cuando OS X 10.10 y 10.12.6 estaba disponible.

Smith y Bruienne dijeron que los usuarios que ejecutan versiones más recientes de macOS están más cerca de estar en línea con los niveles de actualización de firmware adecuados que las versiones anteriores del sistema operativo. Smith especula ahora que High Sierra, o 10.13, está disponible, que Apple apoyaría 10.11 y más adelante, y para la versión 10.10 y versiones anteriores, la seguridad y el soporte de actualización de EFI terminaría.

Thunderstrike y una variante que surgió a finales de 2015, junto con otros dos ataques-CVE-2015-4860 y CVE-2016-7585-plantean preocupaciones particulares para las organizaciones en la mira de los ataques EFI. Según Duo, los modelos 47 y 31 de Mac respectivamente no recibieron un parche EFI para Thunderstrike 1 o 2. En cuanto a CVE-2015-4860, 25 modelos Mac nunca recibieron el parche EFI para la falla, mientras que 22 estaban en la misma forma cuando llegó a la CVE-2016-7585.