por

Las Apple Mac siguen siendo vulnerables a hacks de Firmware EFI

Uno de los consejos más populares y críticos que cada experto en seguridad informático le sugiere encarecidamente a todos los usuarios es: “Mantener actualizado el sistema operativo y el software a la última versión”, para así poder evitar ataques cibernéticos importantes.

Sin embargo, incluso si sigue fielmente esta política y aplica a su sistema cada actualización de software disponible, hay una buena probabilidad de que su equipo permanezca obsoleto y vulnerable a ataques.

Los investigadores de la empresa de seguridad Duo Labs analizaron más de 73.000 sistemas Mac y descubrieron que un sorprendente número de computadoras Apple Mac falla al instalar parches para las vulnerabilidades de firmware de EFI o no recibe ninguna actualización en absoluto por parte del fabricante.

Apple utiliza la Interfaz de Firmware Extensible (EFI, por sus siglas en inglés), diseñada por Intel para ordenadores Mac y que funciona a un nivel inferior al Sistema Operativo de una computadora o un hipervisor (en sistemas virtualizados), controla el proceso de inicio del hardware. Anteriormente esta capa de firmware en computadoras personales era conocida como el BIOS.

Debido a que EFI se ejecuta antes de que el sistema operativo MacOS arranque y tiene privilegios de nivel superior que este, si son explotados por ciberdelincuentes, podrían permitir que el software malicioso de EFI controle todo sin ser detectado.

En el comunicado de Duo Labs podemos leer lo siguiente:

Además de la capacidad de eludir controles de seguridad de nivel superior, atacar el EFI también hace que el adversario sea muy furtivo y difícil de detectar (es difícil confiar en el sistema operativo para obtener la verdad sobre el estado del EFI); también hace que el adversario sea muy difícil de eliminar: instalar un nuevo sistema operativo o incluso reemplazar el disco duro por completo no es suficiente para desalojarlos

¿Que puede ser peor? Pues además de no implementar las actualizaciones de EFI en algunos sistemas, Apple ni siquiera advierte a sus usuarios sobre el fallido proceso de actualización del EFI o fallos técnicos, dejando a millones de usuarios de computadoras Mac vulnerables a sofisticados y avanzados ataques cibernéticos persistentes.

En promedio, Duo dijo que el 4.2% de la muestra de 73,324 Macs del mundo real utilizados en los entornos empresariales se encontraban ejecutando una versión de firmware EFI diferente al que debería estar ejecutando basado en el modelo de hardware, la versión del sistema operativo y la versión EFI publicada con esa version de Sistema Operativo.

Uno se sorprendería al conocer los números de algunos modelos de Mac específicos, el 43% de los modelos de iMac analizados (los de 21.5 pulgadas de finales del 2015) se encontraban ejecutando firmware inestable y por lo menos 16 modelos de Mac nunca había recibido ninguna actualización de firmware EFI cuando el MacOS X 10.10 y 10.12.6 estaban disponibles.

Duo también encontró 47 modelos que ejecutaban versiones de macOS 10.12, 10.11, 10.10 que no recibieron la actualización de firmware de EFI con parches para resolver la vulnerabilidad conocida Thunderstrike 1.

Mientras que 31 modelos no recibieron el parche de firmware de EFI que se dirigía a la versión remota de la misma falla, Thunderstrike 2.

Los ataques Thunderstrike, inicialmente desarrollados por la Agencia de Seguridad Nacional (NSA), también fueron expuestos en los volcados de datos de WikiLeaks Vault 7, que también mencionó que el ataque se basa en el firmware obsoleto.

Si Ud. es el propietario de uno de los 16 modelos de Mac mostrados en el siguiente diagrama y está ejecutando MacOS, el estudio llevado acabo por Duo Labs indica que su sistema no habrá recibido ninguna actualización de firmware de EFI y por lo tanto es vulnerable tanto al Thunderstrike 1 y 2:

Mac Model Version Number
iMac iMac7,1; iMac8,1; iMac9,1; iMac10,1
MacBook MacBook5,1; MacBook5,2
MacbookAir MacBookAir2,1
MacBookPro MacBookPro3,1; MacBookPro4,1; MacBookPro5,1; MacBookPro5,2; MacBookPro5,3; MacBookPro5,4
MacPro MacPro3,1; MacPro4,1; MacPro5,1

Es triste que una compañía que cobra tan caro por sus productos a los que califica de premium y se reserva el derecho de ser ellos los únicos que pueden abrirlos para efectuar mentenimientos que usuarios de PC pueden hacer por si mismos, no tenga una política de seguridad más estricta, ya que sus propios usuarios están limitados en cuánto a lo que pueden hacer para protejer apropiadamente sus equipos.

Una raya más a la ya maltrecha reputación de Apple.