安全公司Duo Labs的研究人员分析了超过73000个Mac系统，并发现其中有大量的苹果Mac电脑无法有效安装针对DFI固件漏洞的修复补丁，或者说其中的大部分Mac电脑压根没有接收到任何的更新提醒。

苹果公司在Mac电脑上所使用的是由Intel设计的可扩展固件接口(EFI)，EFI运行在比计算机操作系统和进程管理程序更底层的地方，它负责控制计算机的启动引导进程。

EFI的运行优先于macOS操作系统的启动，并且EFI拥有更高等级的权限。如果攻击者可以利用EFI固件漏洞的话，他们将能够利用EFI恶意软件来控制目标计算机，而且还不会被安全防护产品所检测到。

Duo Labs的研究人员表示：“这种漏洞除了能够允许攻击者绕过更高级别的安全管理机制之外，攻击EFI还可以更加方便攻击者隐藏自己的恶意行为，并增加检测的难度。(因此操作系统所显示给你的EFI状态信息是不可信的)除此之外，即便是用户重装了系统或者直接更换掉整块硬盘，也仍不足以解决问题。”

更糟糕的是什么？除了某些Mac电脑无法正常接收到EFI更新推送之外，当接收到更新提醒的用户由于技术原因无法正常安装EFI更新时，苹果甚至不会发出任何的警告提醒，从而导致现在有数百万的Mac用户将面临着各种复杂的高级持续性网络攻击威胁。

根据研究人员透露的数据，在目前全球的企业环境中有4.2%的Mac运行着不同版本(不同硬件型号、操作系统版本以及EFI版本)的EFI固件，而这些Mac电脑早就应该进行升级更新了。更加恐怖的是，目前总共有43%的iMac电脑(21.5寸，出厂日期为2015年底)安装的是存在漏洞的固件，而且至少有16款Mac电脑在Mac OS X 10.10和10.12.6正式发布时没有收到过任何的EFI固件更新通知。

 

Duo的研究人员说到：“在我们在对该漏洞进行分析和研究的过程中，苹果公司也已经得到了关于这个EFI漏洞的详细信息并着手进行修复了，但是目前仍然有大量不同型号的Mac电脑没有收到EFI更新提醒，但是它们却能够正常接收到其他的软件安全更新。即使你运行的是最新版本的macOS系统，并且安装了所有已发布的安全更新补丁，我们的分析数据显示这些Mac第难熬仍然无法抵御EFI固件更新。”

　　Thunderstrike攻击起源于NSA

Duo的安全研究人员还发现，有47种不同型号的Mac电脑(运行10.10、10.11和10.12版本的macOS)没有收到针对已知漏洞Thunderstrike1的EFI固件更新。除此之外，还有31种型号的Mac电脑没有接收到针对远程漏洞Thunderstrike 2的EFI固件更新。

Thunderstrike攻击(主要依赖于旧版本固件)最初是由美国国家安全局(NSA)研发的，并且在WikiLeaks Vault 7数据泄露事件中被曝光。

关于受影响Mac型号的详细信息请参考Duo Labs提供的安全分析报告：【点我查看】

根据研究人员透露的信息，他们的研究主要针对的是苹果的Mac生态系统。众所周知，Mac电脑的整个生态系统都是由苹果公司一手掌控的，而且Mac电脑在全球所占的市场份额也在逐渐提升。即便如此，Duo此次所发现的EFI固件安全问题却不仅只有苹果一家的产品存在，很多其他厂商的EFI固件中同样存在类似的安全问题。

如果你的企业环境中使用了大量的Mac电脑，我们建议管理员尽快核查受影响的Mac电脑型号(参考Duo Labs的详细研究报告)，并尽快采取相应措施。

除此之外，广大Mac用户和管理员请尽快使用免费开源工具EFIgy【点我下载】来检查自己计算机的EFI版本是否为最新版本(苹果公司即将推送EFI固件更新)。

(责任编辑：安博涛)