Nieuws
image

Onderzoek: Vier procent Macs mist firmware-updates

vrijdag 29 september 2017, 15:12 door Redactie, 3 reacties

Mac-computers kunnen de laatste beveiligingsupdates voor macOS hebben geïnstalleerd maar belangrijke firmware-updates missen, waardoor ze kwetsbaar voor aanvallen zijn, zo hebben onderzoekers ontdekt. De EFI-firmware van de Mac is een verzameling basisinstructies voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen.

Vanuit een beveiligingsstandpunt neemt de EFI-firmware een belangrijke rol in. Een aanvaller die de firmware weet te compromitteren kan zo de beveiliging van het besturingssysteem omzeilen en ongedetecteerd blijven, omdat de firmware op een lager niveau draait. Ook het vervangen van de harde schijf of het opnieuw installeren van het besturingssysteem is niet voldoende om besmette firmware te verhelpen. De kwaadaardige code blijft in deze gevallen nog steeds actief. Twee jaar geleden demonstreerden onderzoekers een worm die de firmware van Mac-computers kon infecteren, om daar vandaan weer andere Macs te besmetten.

In het geval van Mac-computers bundelt Apple de firmware-updates met de updates voor macOS. Een Mac-gebruiker die een beveiligingsupdate voor macOS of een nieuwe macOS-versie installeert ontvangt zo ook de firmware-update. In de praktijk blijkt dat niet altijd het geval te zijn. Onderzoekers van Duo Security onderzochten de firmware van ruim 73.000 Mac-computers die binnen organisaties worden gebruikt (pdf). Gemiddeld bleek dat 4,2 procent van de Macs niet de firmware heeft geïnstalleerd die naar aanleiding van de geïnstalleerde OS X- of macOS-versie wordt verwacht. De discrepantie is bij sommige modellen veel groter. Zo blijkt dat bij de iMac 21.5 inch (eind 2015 model) 43 procent niet over de juiste firmware beschikt. Van de 2190 iMacs in deze serie draaien er 941 niet de verwachte firmware.

"Dit zorgt voor een situatie waar beheerders en gebruikers de laatste versie van het OS of beveiligingsupdate hebben geïnstalleerd, maar voor de één of andere reden werd de EFI-firmware niet bijgewerkt", zegt onderzoeker Rich Smith. Volgens Smith wordt het probleem vergroot doordat gebruikers geen melding ontvangen dat ze een onverwachte versie van de EFI-firmware draaien of dit op eenvoudige wijze kunnen controleren. Verder blijkt dat de security-support van Apple voor EFI-firmware afhankelijk is van het hardware-model van de Mac. Sommige Macs ontvangen geregeld firmware-updates, sommige alleen nadat bepaalde kwetsbaarheden zijn ontdekt en sommige zien nooit een firmware-update voorbijkomen.

De security-support is ook afhankelijk van de OS-versie die op de Mac draait. Een Mac-model met OS X 10.11 kan andere firmware-updates ontvangen dan hetzelfde Mac-model met macOS 10.12. Dit kan voor een verwarrende situatie zorgen waarbij het besturingssysteem volledig gepatcht en up-to-date is, maar dit niet geldt voor de EFI-firmware. Sommige Macs ontvangen daarnaast wel beveiligingsupdates voor de OS-versie, maar niet voor de EFI-firmware. De onderzoekers hebben een overzicht gemaakt van Mac-modellen die geen firmware-updates ontvangen. Verder adviseren ze gebruikers om naar de laatste versie van macOS te upgraden. Daarnaast zal er een gratis tool beschikbaar worden gemaakt die verouderde EFI-firmware kan identificeren. Hoewel het onderzoek zich op Apple richtte spelen de gevonden problemen volgens de onderzoekers bij alle leveranciers die verantwoordelijk zijn voor het beveiligen van EFI-firmware. Apple is door de onderzoekers over het onderzoek ingelicht.

Reacties (3)
29-09-2017, 16:33 door Anoniem
Verwarrend complex (en veel info 63 paginas!)

Zie twee hoofdpunten:

1) suggestie van lage patchsnelheid bij bedrijven?
Het hoogste percentage wordt gezien bij een Os versie dat nog een jaar oud is!
https://en.wikipedia.org/wiki/MacOS_Sierra

Als apple met iets nieuws komt (elk jaar) wacht je toch minimaal een half jaar met overschakelen zou ik denken.

Daarnaast zijn er heel goede redenen denkbaar om niet te willen upgraden als een eerdere versie nog wordt ondersteund!
Apple loopt continue zaken te veranderen, andere leveranciers kunnen dat niet altijd bijhouden maar ook gebruikers krijgen kromme tenen van wat apple er ongevraagd weer uitsloopt of zelfs totaal aan verandert!!

Dan blijf je dus graag zitten op een ouder MacOS en heb je best een aardige baas als die daar rekening mee houdt.
Binnen een bedrijfsnetwerk zijn er andere oplossingen denkbaar om security te managen (bij overigens vrijwel gebrek aan security dreigingen op dit vlak want adware en het achterhalen van de apple id heeft niets met firmware aanvallen te maken, dat doen alleen overheden op dat niveau).

2) apple die niet altijd een firmware update meelevert met combo security updates?

Misschien zijn firmware updates soms gekoppeld aan hogere mac os versies?
Krijg je wel die firmware update als je overstapt naar 10.13 maar niet als je blijft hangen op het nog supported 10.11?

Zou kunnen, weet het niet en lig er ook niet wakker van.
Het is kennelijk nu dus een keuze tussen verlies aan productiviteit door nieuwe veranderingen bij een hoger Os en dan dus die extra firmware update?
Jammer dan, productiviteit gaat voor en als dat met een ouder os moet (zonder die firmware update) dan gaat dat ook voor.

Want hoeveel firmware malware en hoeveel fimware attacks zijn er nou eigenlijk?
Firmware attacks worden gebruikt door het soort dat producten afneemt uit de hoek finfisher & cornuiten.
Als die je achter je broek zitten kan je maar beter helemaal geen mac os gebruiken maar iets anders.
30-09-2017, 10:11 door Anoniem
CP/M, het OS waar PC-DOS en MS-DOS grotendeels naar zijn gemodelleerd, had een component die Basic Input/Output System werd genoemd, ofwel BIOS. Die werd net als andere componenten van het OS van (meestal) floppy disk geladen. In ROM zat alleen een bootloader die veel beperkter was dan het BIOS.

Voor de IBM-PC besloot IBM die component in ROM onder te brengen. De BIOS werd daarmee van OS naar firmware verplaatst. EFI is weer de opvolger van BIOS.

Wat ik aardig vind aan dit verhaal is dat als BIOS-upgrades aan OS-upgrades worden gekoppeld, het afgezien van de opslag in flashgeheugen eigenlijk weer min of meer als onderdeel van het OS wordt gezien. Is het cirkeltje rond aan het raken?
02-10-2017, 10:45 door Whacko
Door Anoniem: CP/M, het OS waar PC-DOS en MS-DOS grotendeels naar zijn gemodelleerd, had een component die Basic Input/Output System werd genoemd, ofwel BIOS. Die werd net als andere componenten van het OS van (meestal) floppy disk geladen. In ROM zat alleen een bootloader die veel beperkter was dan het BIOS.

Voor de IBM-PC besloot IBM die component in ROM onder te brengen. De BIOS werd daarmee van OS naar firmware verplaatst. EFI is weer de opvolger van BIOS.

Wat ik aardig vind aan dit verhaal is dat als BIOS-upgrades aan OS-upgrades worden gekoppeld, het afgezien van de opslag in flashgeheugen eigenlijk weer min of meer als onderdeel van het OS wordt gezien. Is het cirkeltje rond aan het raken?

Nee , het verschil is hier dat Apple zowel de maker is van het OS als de hardware. Dus als zij een firmware update willen uitrollen, kunnen ze dat dus gewoon via hun software updates meeleveren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure