เตือนผู้ใช้ Mac เฟิร์มแวร์ EFI ยังคงมีช่องโหว่ต่อให้อัปเดตแพทช์ล่าสุดแล้วก็ตาม

นักวิจัยด้านความมั่นคงปลอดภัยจาก Duo Labs ออกมาจากเตือนผู้ใช้ Mac ทุกท่านหลังจากได้ทำการวิเคราะห์ระบบปฏิบัติการ macOS กว่า 73,000 เครื่องที่ใช้งานจริงในปัจจุบัน พบว่า Mac เหล่านั้นยังไม่ได้รับการอุดช่องโหว่บนเฟิร์มแวร์ EFI ถึงแม้ว่าจะอัปเดตแพทช์ด้านความมั่นคงปลอดภัยเวอร์ชันล่าสุดแล้วก็ตาม

Apple ใช้ Extensible Firmware Interface (EFI) ที่ถูกออกแบบโดย Intel ในคอมพิวเตอร์ Mac สำหรับควบคุมกระบวนการบูตของคอมพิวเตอร์ โดย EFI จะทำงานในระดับที่ต่ำกว่าระบบปฏิบัติการและ Hypervisor กล่าวคือ EFI จะเริ่มทำงานก่อนที่ระบบปฏิบัติการ macOS จะเริ่มทำการบูต และมีสิทธิ์ในระดับสูง ส่งผลให้ถ้าแฮ็คเกอร์สามารถเจาะระบบโจมตี EFI ได้ ก็สามารถลอบส่งโค้ดแปลกปลอมหรือมัลแวร์เข้ามาเพื่อควบคุมระบบคอมพิวเตอร์ได้โดยไม่ถูกระบบรักษาความมั่นคงปลอดภัยของ macOS ตรวจจับ ที่แย่กว่านั้นคือการติดตั้งระบบปฏิบัติการใหม่หรือเปลี่ยนฮาร์ดดิสก์ไม่ได้ช่วยแก้ปัญหานี้แต่อย่างใด

ที่น่าตกใจคือ นอกจาก Apple จะบกพร่องเรื่องการออกแพทช์เพื่ออุดช่องโหว่บนเฟิร์มแวร์ EFI ตั้งแต่ปี 2015 แล้ว ยังไม่มีการแจ้งเตือนไม่ยังผู้ใช้ด้วยเช่นกัน ส่งผลให้ผู้ใช้ Mac ทั่วโลกหลายล้านคนตกอยู่ในความเสี่ยง อาจถูกแฮ็คเกอร์โจมตีได้

ผลวิเคราะห์ Mac รวมทั้งหมด 73,324 เครื่อง พบข้อสังเกตที่น่าสนใจดังนี้

  • Mac บางรุ่นมีการอัปเดต EFI เป็นประจำ บางรุ่นมีการอัปเดตเมื่อพบช่องโหว่ และบางรุ่นไม่เคยอัปเดตเฟิร์มแวร์ EFI เลย
  • Mac จำนวน 16 รุ่นดังแสดงในตารางด้านล่างไม่เคยมีการอัปเดตเฟิร์มแวร์ EFI

  • iMac 21.5” ปี 2015 มีการรัน EFI ผิดเวอร์ชันมากที่สุด คิดเป็น 43%
  • Mac จำนวน 47 รุ่นไม่มีการอัปเดตแพทช์สำหรับอุดช่องโหว่ Thunderstrike 1
  • Mac จำนวน 31 รุ่นไม่มีการอัปเดตแพทช์สำหรับอุดช่องโหว่ Thunderstrike 2
  • แพทช์อัปเดตล่าสุดสำหรับระบบปฏิบัติการ macOS 10.10 และ 10.11 มาพร้อมกับเฟิร์มแวร์ EFI ผิดเวอร์ชัน
  • 4.2% ของ Mac ทั้งหมดที่วิเคราะห์ รันเฟิร์มแวร์ EFI ต่างจากเวอร์ชันที่ Apple แนะนำ

เหล่านี้ แสดงให้เห็นว่า Apple ยังขาดความสามารถในการทำ QA ในกระบวนการอัปเดตเฟิร์มแวร์ EFI

อย่างไรก็ตาม ถึงแม้ว่า Apple จะบกพร่องเรื่องการอัปเดตแพทช์บนเฟิร์มแวร์ EFI แต่การโจมตีเฟิร์มแวร์ดังกล่าวในชีวิตจริงก็เป็นไปได้ยากเช่นกัน เนื่องจากต้องใช้ความสามารถในการเขียนโค้ดและพัฒนามัลแวร์ระดับสูง รวมไปถึงจำเป็นต้องเข้าถึงเครื่องคอมพิวเตอร์ของเหยื่อด้วยเช่นกัน ซึ่งมัลแวร์เหล่านี้มักพบได้จากเครื่องมือแฮ็คที่มีรัฐบาลหนุนหลัง เช่น Sonic Screwdriver ของ CIA ที่ WikiLeaks ออกมาเปิดเผยในซีรี่ย์ Vault 7

ผู้ที่สนใจสามารถอ่านรายงานฉบับเต็มได้ที่: https://duo.com/assets/ebooks/Duo-Labs-The-Apple-of-Your-EFI.pdf

ที่มา: https://www.bleepingcomputer.com/news/apple/many-up-to-date-macs-not-getting-efi-firmware-updates/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ