Ecco perché Mac OS è vulnerabile. Anche se lo aggiornate

La principale raccomandazione di qualunque esperto di sicurezza sulla protezione un sistema informatico dalle minacce cibernetiche è quella di mantenere il sistema operativo, ed ogni software in uso, aggiornato all’ultima versione. Tuttavia il caso che discuteremo oggi dimostra che la condizione sopra esposta è necessaria, ma non sufficiente, a proteggere un sistema Mac di Apple.

La falla nell’interfaccia

Facciamo un salto indietro nel tempo, al 2015, quando il ricercatore Trammell Hudson dimostrò al Chaos Computer Congress di Amburgo, che è possibile infettare i PC Apple Mac sfruttando la porta Thunderbolt fruttando una falla nell’interfaccia EFI. Apple utilizza l’interfaccia Intel Extensible Firmware Interface (EFI) progettata per computer Mac che viene eseguita prima di avviare il sistema operativo MAC OS che dispone di elevati privilegi di esecuzione.  A seguito della pubblicazione dei dettagli dell’attacco contro il firmware di Apple, ogni volta che l’azienda rilascia aggiornamenti di sicurezza include anche gli aggiornamenti per l’interfaccia firmware Extensible Firmware Interface (EFI).

Aggiornamenti sì, ma incompleti

Torniamo al presente, i ricercatori dell’azienda Duo Labs hanno scoperto che molti aggiornamenti rilasciati da Apple per MAC OS sono incompleti o non sono addirittura installabili da molti sistemi. Milioni di ignari utenti Mac convinti di essere protetti perché hanno applicato i necessari aggiornamenti sono potenzialmente esposti ad attacchi. I ricercatori hanno analizzato oltre 73.000 sistemi Mac e hanno scoperto che per un numero preoccupante di Apple Mac fallisce la procedura di aggiornamento per la protezione di attacchi al firmware EFI o addirittura gli aggiornamenti non sono affatto installati. Sono state rivelate discrepanze significative tra il numero di versione del firmware EFI effettivamente in esecuzione sulle macchine analizzate e quello che invece ci si aspettava di trovare.  

Si legge nel rapporto pubblicato dagli esperti

Abbiamo preso nota della versione del sistema operativo, del numero di build, del modello di Mac e della versione del firmware EFI di oltre 73.000 sistemi Mac utilizzati in organizzazioni in diversi settori per disporre di un campione rappresentativo dei sistemi attualmente in produzione

Secondo lo studio condotto dai ricercatori, il 4,2% dei sistemi Mac attualmente  in ambienti di produzione utilizza versioni dell’interfaccia firmware EFI diverse da quelle da che dovrebbero in realtà eseguire.

Secondo i ricercatori

In media, il 4,2% dei Mac utilizzati negli ambienti di produzione analizzati sta eseguendo una versione del firmware EFI che è diversa da quella che dovrebbe eseguire, in base al modello hardware, alla versione OS e alla versione EFI rilasciata per quella specifica versione del sistema operativo

I modelli vulnerabili

La situazione è peggiore per alcuni specifici modelli Apple Mac, come l’iMac 21,5 pollici prodotto alla fine del 2015 per cui gli esperti hanno osservato una discrepanza del 43 per cento. Gli esperti hanno riscontrato che per 16 sistemi con combinazioni diverse di hardware e sistema operativo non stati mai installati i previsti aggiornamenti al firmware EFI (versioni 10.10 a 10.12 di OS X / macOS). Di seguito i modelli vulnerabili:

La situazione è ancor più critica perché Apple non avverte i suoi clienti quando il processo di ​​aggiornamento dell’interfaccia EFI fallisce o quando si riscontrano problemi tecnici che impediscono l’installazione dell’aggiornamento. Le conseguenze sono preoccupanti in quando milioni di utenti di Mac restano esposti ad attacchi come quelli presentati al Chaos Computer Congress. 

Un codice malevolo disegnato per sfruttare falle nell’interfaccia EFI potrebbe essere utilizzato dagli attaccanti per ottenere il pieno controllo del dispositivo senza peraltro essere rilevato da qualunque applicativo di sicurezza.

Secondo i ricercatori di Duo Security

Oltre alla possibilità di aggirare i controlli di sicurezza di livello superiore, l’attacco all’interfaccia firmware EFI consente all’attaccante di condurre un offensiva furtiva e difficile da rilevare (è difficile fidarsi del sistema operativo per dirvi la verità sullo stato dell’EFI); inoltre un codice malevolo che sfrutta queste falle è molto  difficile da rimuovere, l’installazione di un nuovo sistema operativo o anche la sostituzione del disco rigido non è sufficiente la loro rimozione”, affermano i ricercatori di Duo Security

È sicuramente sconcertante sapere che anche se gli utenti eseguono l’ultima versione di macOS e hanno installato tutti gli aggiornamenti di sicurezza rilasciati dall’azienda Apple sono ancora esposti ad attacchi informatici.

Anche se si sta eseguendo la versione più recente di macOS e sono stati installate le patch più recenti che sono state rilasciate, i nostri dati mostrano che esiste una possibilità non trascurabile che il firmware EFI in esecuzione potrebbe non esser stato aggiornato all’ultima versione

Gli attacchi Thunderstrike

Gli esperti di Duo hanno inoltre trovato 47 modelli che eseguivano versioni di macOS 10.12, 10.11 e 10.10, ma che tuttavia non hanno ricevuto l’aggiornamento firmware EFI che risolve la vulnerabilità nota, Thunderstrike 1. Mentre 31 modelli non hanno ricevuto alcun aggiornamento per la falla Thunderstrike 2. Gli attacchi Thunderstrike sono stati sfruttati per la prima volta dall’agenzia di sicurezza nazionale statunitense NSA. Secondo documenti presenti nell’archivio Vault 7 rivelato da WikiLeaks, l’agenzia avrebbe messo a punto l’attacco al firmware Mac per compromettere i sistemi Mac mentre erano in transito dagli ambienti di produzione all’obiettivo finale dell’attacco. Ulteriori dettagli sulla ricerca condotta da Duo Labs sono disponibili nel white paper pubblicato dagli esperti, inoltre coloro che vogliono controllare se stanno eseguendo la versione più recente del firmware EFI possono utilizzare il tool open source EFIgy.