Onderzoekers waarschuwen voor missende efi-updates bij sommige macOS-systemen

Onderzoekers van beveiligingsbedrijf Duo Security hebben een onderzoek uitgevoerd naar updates van efi-firmware op 73.324 Mac-systemen. Daaruit bleek dat iets meer dan 4 procent van de onderzochte systemen updates miste, waardoor beveiligingsrisico's ontstaan.

Het bedrijf publiceerde vrijdag de uitkomsten van het onderzoek. De auteurs schrijven dat de verzamelde gegevens suggereren dat een van de oorzaken van het verschijnsel kan zijn dat sysadmins niet de juiste procedures voor updates hanteren. Een andere mogelijkheid is dat er iets mis gaat aan de kant van Apple waardoor de updates niet geïnstalleerd worden, maar daarvoor hebben ze geen bewijzen gevonden. Het percentage van 4,2 procent is een gemiddelde en er zijn verschillende uitschieters.

Zo bleek dat een 21,5"-iMac van het einde van 2012 in 43 procent van de gevallen de verkeerde efi-firmware draaide. Bij drie varianten van een 13"-MacBook Pro uit 2016 varieerde dat percentage van 25 procent tot 35 procent. Een andere uitkomst van het onderzoek was dat systemen met macOS Sierra in 10 procent van de gevallen niet de verwachte firmware hadden, terwijl dat percentage met El Capitan en Yosemite lager lag met respectievelijk 3,4 en 2,1 procent.

De te ontvangen firmware-updates zijn volgens de onderzoekers afhankelijk van het Mac-model en de aanwezige versie van het besturingssysteem. Daardoor kan het voorkomen dat een systeem wel alle nodige beveiligingsupdates van het OS heeft, maar alsnog een onveilige versie van het efi draait. Zo zouden er 16 combinaties zijn van hardware en besturingssystemen die nooit een firmware-update hebben ontvangen tussen versie 10.10 en 10.12 van het OS. Ook wijzen de onderzoekers erop dat een update soms een oudere versie bevatte, wat zou wijzen op een probleem met QA.

Een kwetsbaar efi brengt risico's met zich mee, omdat het veel privileges bezit, aldus de onderzoekers. Daardoor kan een succesvolle aanval beveiligingsmaatregelen op hogere niveaus in het systeem ongedaan maken. Daarnaast zouden aanvallen vaak moeilijk te detecteren zijn en nadat infectie heeft plaatsgevonden zou het moeilijk zijn om deze weer te verwijderen. In het rapport verwijzen ze naar verschillende efi-aanvallen, zoals de Thunderstrike-varianten waarbij Apple-systemen geïnfecteerd konden worden door kwaadaardige Thunderbolt-adapters. Ook de CIA-methode Sonic Screwdriver wordt genoemd.

De onderzoekers zeggen dat ze Apple onder de loep hebben genomen, omdat het gebruikmaakt van een gesloten ecosysteem, waarbij het bedrijf zelf controle heeft over de hardware en software. Daardoor zou de analyse eenvoudiger zijn. Ze vermoeden dat de situatie op Wintel-systemen mogelijk erger is en willen dat in de toekomst onderzoeken. Onlangs bleek dat Apple vanaf High Sierra een wekelijkse check van de efi-firmware uitvoert. Volgens de auteurs waarschuwt de tool in kwestie echter niet bij verouderde versies.

De beveiligingsonderzoekers zeggen dat hun bevindingen geen reden tot grote zorgen moeten zijn voor gewone gebruikers, omdat aanvallen op het efi vaak complex en gericht zijn. Het is dus afhankelijk van het threat model van de gebruiker hoe ernstig de bevindingen zijn. Ze hebben een tool uitgebracht waarmee gebruikers kunnen onderzoeken of hun efi-firmware-versie de juiste is en of deze kwetsbaar is. Die is op het moment van schrijven echter nog niet beschikbaar.

IT-banen

Reacties (51)

Madcat 29 september 2017 18:30

Blijkbaar heeft 4% van de mac gebruikers de auto update functie uit staan.
Firmware updates wordt onder OSX gewoon als een software update gepushed, maar dit kan je uit zetten als je dat wenst. Alleen hele oude systemen (power pc mac's) moeten nog handmatig worden geupdate.

Eigenlijk vind ik het percentage nog best wel mee vallen, ik ben wel benieuwd hoeveel van de windows gebruikers niet de laatste firmware updates heeft.

[Reactie gewijzigd door Madcat op 22 juli 2024 22:02]

jabwd @Madcat • 29 september 2017 23:08

Ik vraag me eerder af hoeveel hiervan gewoon een hackintosh draaien. Niemand die beetje tech savvy is gaat een imac kopen ipv gewoon een macbookpro aan de tafel vastschroeven. Zelfde product.

armageddon_2k1 @jabwd • 30 september 2017 09:47

Hackintosh, leuk in theorie, maar om er echt wat mee te doen is ontzettend veel gezeik.

MrFax @armageddon_2k1 • 30 september 2017 10:02

Ja, het probleem is dat je een specifiek moederbord nodig hebt waarbij je een open source EFI firmware op kan flashen, of specieke moederborden met specifieke onderdelen die worden herkend door MacOS. Het niet echt even simpel gedaan.

Hier heb je een goede guide: https://www.tonymacx86.com/buyersguide/september/2017/

Binnenkort zal macOS hopelijk ook AMD videokaarten supporten via het eGPU systeem in High Sierra

[Reactie gewijzigd door MrFax op 22 juli 2024 22:02]

8bitfanaat @armageddon_2k1 • 30 september 2017 11:01

Ik heb nu enkele jaren een hackintosh draaien. Het is een Intel i5 met veel geheugen en veel opslagruimte. Het eenmalig opbouwen is inderdaad wat werk, maar als je de juiste specificaties volgt dan gaat het relatief snel. Alleen het is altijd goed opletten wanneer je een update uitvoert. De machine is heel erg snel en blaast veel huidige machines van Apple weg.

Maar je moet een hobbyist zijn.

Ik heb daarnaast overigens ook een echte MacBook.

[Reactie gewijzigd door 8bitfanaat op 22 juli 2024 22:02]

laptopleon @jabwd • 30 september 2017 02:25

Moest ik ook even aan denken, maar met Hackintoshes is het een beetje als met Rolls Royces. Ze krijgen veel aandacht in de media waardoor de naam relatief bekend is, maar uiteindelijk is het een zeldzame verschijning. Het zou me verbazen als ze een significant aantal halen. Het zou al heel wat zijn als 1 promille een Hackintosh was.

TrekVogel @Madcat • 29 september 2017 20:44

Misschien een domme vraag, maar worden PPC Macs nog steeds van updates van Apple voorzien? Ik dacht namelijk dat ze daar al mee gestopt waren.

burne @TrekVogel • 29 september 2017 21:31

Los daarvan hebben PowerPC Mac's natuurlijk geen efi-bios om te infecteren.

TrekVogel @burne • 29 september 2017 21:39

Dat is duidelijk, het ging mij meer om veiligheid in het geheel.

nelizmastr @burne • 29 september 2017 23:42

Maar wel een Open Firmware, die wel degelijk te infecteren is. Mijn iMac G3 uit 2001 draaide nog zijn originele firmware, die tal van rare compatibiliteitsproblemen opleverde en mogelijk ook exploits van destijds.

johnkeates @nelizmastr • 30 september 2017 00:14

Ja, maar niet op dezelfde bus. Je kan het alleen misbruiken via de CPU, en niet via FireWire DMA.

MrFax @johnkeates • 30 september 2017 10:01

Exact, en de gebruikersaantal is zo laag dat het voor criminelen niet waard is.

Verwijderd @TrekVogel • 29 september 2017 21:09

Nee, allang niet meer. Laatste PPC Mac dateert uit 2006. Met als laatste macOS versie 10.6.

Infor40 @Verwijderd • 29 september 2017 23:16

10.5, Leopard was de laatste PPC.

TrekVogel @Verwijderd • 29 september 2017 21:14

Dank, ik dacht al dat ik gek werd

johnkeates @DefaultError • 30 september 2017 00:13

Dat is 10.13 hier ook...

Verwijderd @DefaultError • 30 september 2017 12:40

“Waarom niet 15 jaar lang een goed besturingsysteem doorontwikkelen?”
Dat is wat Apple doet. macOS High Sierra is de meest doorontwikkelde versie van Mac OS X 10.0 Cheetah.

gamezfreak @Madcat • 30 september 2017 00:07

Ik denk dat die percentage van Windows wel flink wat hoger ligt voor de consumenten (dus niet systemen van bedrijven). Normaal gesproken ben ik beetje tegen Apple (want duur en minder hardware voor je geld), maar de manier waarop zij met software omgaan, is wel vele malen beter dan bij Windows. Ja ik weet dat Mac OS in de UNIX/LINUX familie zit en dat er genoeg alternatieven zijn, maar Windows is wel een van de meest gebruikte besturingssystemen.

Een BIOS update gaat bij de ene merk sneller dan bij andere en niet iedereen weet hoe het moet doen. Het kan heel gemakkelijk fout gaan, iemand zet de verkeerde versie op de USB, probeert zijn BIOS up te daten en piep...piep...piep... Systeem weg, bestanden weg

BikkelZ @Madcat • 29 september 2017 23:07

Dat is het gemiddelde, sommige iMacs daar heeft 40% geen up-to-date EFI.

RAAF12 @Madcat • 30 september 2017 03:04

Die hebben uefi, de moderne vervanger voor de bios chip. Die worden geupdate als de hardware fabrikant fouten in het nieuwe ontwerp vind. Maar het heeft niks met windows te maken. Op het Intel platform zijn vele besturing systemen te draaien.

XyritZz @Madcat • 30 september 2017 11:16

Als ik het artikel goed begrijp gaat het er juist om dat de software updates niet altijd de correcte updates voor firmware bevatten.

Er zijn dus combinaties van hard/software die de updates nooit krijgen o.i.d.

Ben zelf ook wel benieuwd of het bij mij goed update als ik naar High Sierra ga; heb sinds de update naar Sierra nooit meer een reboot gedaan en m’n systeem mist dus updates, geen idee of de installatie naar HS dat allemaal meeneemt.

Durandal @Madcat • 30 september 2017 12:34

Eigenlijk vind ik het percentage nog best wel mee vallen, ik ben wel benieuwd hoeveel van de windows gebruikers niet de laatste firmware updates heeft.

Heel veel, want het is niet gebruikelijk deze te updaten. Er wordt vaak zelds door de moederbord fabrikanten geadviseerd pas te updaten als er een probleem is.

Verwijderd 30 september 2017 13:21

Het probleem gaat niet weg door auto update aan te zetten. Mijn Macbook Air met High Sierra blijkt ook verouderde firmware hebben. Auto update lost dat probleem niet op.

Er is een firmware update beschikbaar voor manual download maar die laat zich alleen installeren met 10.9.5 (Mavericks). In theorie zou ik een bootable usb kunnen maken met Mavericks. Maar Mavericks is niet meer te downloaden uit de app store.

Het lijkt er dus op dat er gewoon geen mogelijkheid is om de firmware bij te werken.

Nibbz 29 september 2017 18:10

Dus 4% van de Macs heeft die update niet gehad. Hoe doen we dat straks (ofja.. nu al) met allemaal IoT devices? Als daarvan ook 4% niet geupdate word, dan zullen er aardig wat beveiligings lekken te exploiten zijn straks.

burne @Nibbz • 29 september 2017 18:32

Misschien nog eens lezen, dan?

De onderzoekers zeggen dat ze Apple onder de loep hebben genomen, omdat het gebruikmaakt van een gesloten ecosysteem, waarbij het bedrijf zelf controle heeft over de hardware en software. Daardoor zou de analyse eenvoudiger zijn. Ze vermoeden dat de situatie op Wintel-systemen mogelijk erger is en willen dat in de toekomst onderzoeken.

Heel veel IoT-spul zal niet op een efi-bios draaien, maar veel van die PC's thuis wel. En ik geloof niet dat zal blijken dat HP, Dell en Lenovo 100% up to date zijn. Om over die andere 10.000 maar niet te beginnen.

Ik denk dat de conclusie moet zijn: efi firmware updates zijn een bende en zelfs Apple (die het het makkelijkst heeft door hun gesloten eco-systeem) heeft een hoop gemist.

pietprecies01 @burne • 29 september 2017 21:09

Wat ik mee kreeg is dat een efi attack vrij hardware specifiek is, en door de grote fragmentatie van windows is een attack niet effectief, terwijl je bij mac door het gering aantal modellen een veel grotere doelgroep kan bereiken (die ook vaak eerder werklaptops zijn).

Maurits van Baerle @pietprecies01 • 29 september 2017 21:25

EFI heeft weinig met Windows te maken dus fragmentatie binnen Windows zal ook beperkt zijn (hoewel Windows wel een rol zal kunnen spelen bij het up-to-date houden van EFI).

Het zal vooral het aantal verschillende moederborden zijn dat de fragmentatie bepaald. Ik weet niet in hoeverre bijv. een ASUS besluit om een hele reeks borden binnen dezelfde serie hetzelfde EFI te geven waarbij de EFI dan zelf vaststelt op welk bord hij draait en bepaalde modules niet opstart. Vanuit een moederbord fabrikant kan dat een hoop gedoe schelen. Het zou alleen wel een aanval een stuk makkelijker maken.

Blokker_1999

Netwerk en systeembeheer
Apple
Security

@Nibbz • 29 september 2017 18:43

En hoe denk je dat het bij de PC zit? Er zijn niet veel PCs waar een EFI of BIOS update onderdeel uitmaakt van de standaard updates. Daarnaast leeft er bij vele PC gebruikers nog altijd de vrees dat zo een update kan mislukken en hun PC waardeloos zou maken met als gevolg het principe van "If it ain't broken, don't fix it."

.Gertjan. @Blokker_1999 • 29 september 2017 20:17

Sterker nog, veel leveranciers plaatsen een waarschuwing bij bios updates waarin ze stellen dat je hem enkel moet updaten als er problemen worden ondervonden... Leveranciers hebben dus een klein beetje die houding/visie in de hand gewerkt helaas.

Ook speelt mee dat mensen niet snel verwachten op dit niveau iets op te lopen. Vroeger waren virussen en risico’s mbt de bios iets wat zeer zeldzaam was (moet eerlijk bekennen dat ik dat ook een beetje heb, de kans dat je vroeger zoiets trof werd altijd een beetje gebagatelliseerd).

TrekVogel @Nibbz • 29 september 2017 20:51

Ondanks de eerdere reacties die allen EFI meewegen, heb je natuurlijk gewoon gelijk. Mirai liet dit natuurlijk heel duidelijk zien. Ik durf te wedden dat er in de nabije toekomst miljarden online apparaten zijn waarvan een groot deel vrijwel dezelfde software bevat en de meeste nooit een update krijgen. Dit wordt erger dan het Win9x probleem ooit geweest is.

Keypunchie

Apple

@Brahiewahiewa • 29 september 2017 20:50

Zeggen de schrijvers zelf ook:

If you’re a home user with a Mac that falls into one of the above categories as their personal computing device, then the sky isn’t falling for you, in our opinion. Attacks against EFI have so far been part of the toolkit used by sophisticated adversaries who have specific high value targets in their sights. Such adversaries are often spoken about in the same breath as nation state attacks and industrial espionage.

Beheer je de Macs voor een NGO die in autoritaire staten opereert, of bij een overheidsinstelling met gevoelige data; check dat je EFI up-to-date is.

Ben je huis-, tuin- en keukengebruiker: patch macOS tot het meest recente in-support level (10.12.6 of 10.13.0)

Wat ik nou wel jammer vind. Heb het hele artikel en verslag gelezen, maar geen makkelijk commando gevonden om mijn EFI-level ff te checken.

Zo check je blijkbaar je EFI-versie:

/usr/libexec/efiupdater -p ~/DirectoryDoesnotExist

Of met dit commando krijg je het met iets meer informatie (hoewel ik het niet helemaal mooi eruit kon krijgen, omdat in de PDF deze query allemaal smartquotes heeft gekregen) :

echo "$(ioreg -l | awk '/product-name/ { split($0, line, "\""); printf("%s\n", line[4]); }') $(sw_vers -productVersion) $(sw_vers -buildVersion) $(ioreg -d 3 -p IODeviceTree -n rom | awk -F\" '/version/{print $4}')"

Het jammere: sinds het afronden van dit onderzoek (mid 2017) zijn er alweer EFI-patches geweest, lijkt het. Ik heb een versienummer dat hoger is dan wat zij in hun tabel hebben opgenomen.

Raw EFI Version string: MBP111.88Z.0138.B40.1706201157
EFI currentVersion: [0000000001380040]
EFI updateVersion: [0000000000000000]

Die B40 is hoger dan B25 die zij vermelden in hun tabel voor de Macbook Pro Mid-2014. Maar goed, de datum van de firmware lijkt dan ook 20-06-2017, 11:57. Dat is dus recenter dan de 2017-001 security patches.

*zucht* het is wel een wirwar van versienummers en modelnummers.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 22:02]

Petertyuh @Keypunchie • 30 september 2017 10:54

Bedankt voor het commando, dat werkt iets beter dan de tool op Github....

Coming Soon! We're still squashing a bug and will release it ASAP after recovering from Ekoparty 13

Ik blijk precies (exact) dezelfde EFI te hebben.

BStorm 29 september 2017 19:07

Beste manier om dit op te lossen is gebruikers weer volop controle terug te geven over de eigen hardware ontsluiting.

Want die 4 procent, en dat zal steeds meer worden, die de low-level updates van -gemakshalve- àlle fabrikanten niet meer vertrouwen zal altijd blijven bestaan. Voor je het weet had je namelijk weer één of andere HDCP shizzle (of iTune-dOutInY2K) op je TV-bakkie.

En dan waren de rapen gaar

PPie @BStorm • 30 september 2017 08:48

Want die 4 procent, en dat zal steeds meer worden, die de low-level updates van -gemakshalve- àlle fabrikanten niet meer vertrouwen zal altijd blijven bestaan.

Dit strookt niet met de mening van de Tweaker dat een Mac voor mensen is die niets van computers af (willen) weten. Die zullen dus gewoon de autoupdate aan hebben staan.

monojack @PPie • 30 september 2017 11:28

Maar wie neemt de tweaker nog serieus? Tweakers zijn een verloren generatie die niet echt mee konden met de grote revolutie die door het technologische technologische landschap rolde de laatste 2 decennia.

Vandaag is het eerder de Mac gebruiker die van mening is dat een Tweaker iemand is die is blijven steken is in de vorige eeuw en niet veel snapt van de huidige computers of wil snappen

BStorm @PPie • 30 september 2017 17:38

Beetje flauw om zo te generaliseren als we het toch al over slechts 4 procent hebben.

Bovendien heb ik het over een gemaksgedreven gedrag dat, met maar één extra stap (bewustwording), prima aansluit bij jouw perceptie van die doelgroep ;-)

(En da's dus een doelgroep; en niet de daadwerkelijke gebruikers. Apple leunt dan met haar marketing-mix zwaar op zowel de credulous-factor als de gullible-factor, de gullible-factor begint pas daar waar de bewuste comsumptie eindigt. Tot daar is het nog maar gewoon zelf-schadende gemakzucht. Veel van dat slag zal dus best nog ontvankelijk zijn voor opmerkingen of waarschuwingen uit de omgeving van bijvoorbeeld de mensen die de onhandige gevolgen ondervonden hebben van zo'n klakkeloos updaten. Of de mensen die zien hoeveel méér er mogelijk is bij de buurtjes van het Personal(!) Computing kamp: Verlengkabel voor een paar pleuro? Je culturele eigendommen migreren zonder iTune-dOutInY2K? (of andere onhandige fratsen) >> Yeah!) )

Eduardboon 29 september 2017 20:51

"Ze hebben een tool uitgebracht" maar 1 zin later is die nog niet beschikbaar. Was een beetje verwarrend.

Verwijderd 29 september 2017 21:12

Nou laat ik nou een iMac uit 2012 hebben die niet kan updaten naar high sierra door een foutmelding dat de firmware niet klopt.

Ben benieuwd hoe je dit kunt checken en of fixen.
Dacht dat het kwam omdat ik het OS op een externe ssd draaide.

GekkePrutser 30 september 2017 08:26

In elk geval bij vroegere versies was de EFI update een handmatige stap. De software updater installeerde een applicatie voor de update die je zelf moest starten. Voor oudere versies zal dat een van de redenen zijn.

In nieuwere versies gaat dit wel automatisch. Maar toen het nog handmatig ging, heb ik meerdere keren gehad dat de update niet werkte om onduidelijke redenen. Ging om gewone gesupporte Macs. Ik had wel enkele bekende tweaks geïnstalleerd zoals die tool voor TRIM support op non fabrieks SSDs. Zou het daar mee te maken kunnen hebben?

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 22:02]

DefaultError 30 september 2017 19:47

Overigens blijkt dat de gemiddelde tweaker behoorlijk slaafs is en geen kritische noot over Apple wil horen. Toch gaat het inhoudelijk over een probleem. Tweaker criticaster willen duidelijk alleen maar positief nieuws horen over hun geliefde oogappeltje.

cilfour @slyoldfox • 29 september 2017 18:32

Als je de feedback knop had gebruikt en het in het juiste topic had gemeld dan had het meteen gefixt kunnen worden.
https://gathering.tweakers.net/forum/list_messages/1676681

slyoldfox @cilfour • 29 september 2017 19:33

Dank je clifour, ik zal dat de volgende keer doen. Ik lees vooral. :-)

Op dit item kan niet meer gereageerd worden.

Onderzoekers waarschuwen voor missende efi-updates bij sommige macOS-systemen

Lees meer

Apple iMac Pro Review

IT-banen

Reacties (51)

Lees meer

Apple iMac Pro Review

IT-banen

Reacties (51)

Sorteer op:

Weergave: