DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

高防ddos_cdn高防应急中心_怎么防

06-11 DDOS防御

高防ddos_cdn高防应急中心_怎么防

Duo实验室2017年9月29日有钱的史密斯佩比恩·布鲁伊恩EFI的苹果:Mac固件安全研究2017年9月29日,我们很高兴在布宜诺斯艾利斯的ekopaty上发表演讲,介绍我们最近对苹果EFI固件的安全支持所做的研究。为了配合会议讨论,cc攻击防御免费平台,我们还发布了一份技术论文,维盟路由ddos防御,该文件将更详细地介绍我们在分析过程中收集的数据。除了论文之外,我们也很高兴能够发布我们在这项工作中开发的一些工具和API,目的是帮助Apple Mac用户和管理员更好地了解他们Mac系统正在运行的EFI状态以及可能存在的任何潜在问题。这篇博文总结了一些主要的研究领域和我们在分析过程中发现的有趣的事情,并作为技术论文的一个无障碍的介绍,可以从下面的链接下载。在过去的几个月里,Duo实验室一直致力于一个项目,研究供应商对其系统中固件提供的安全支持与软件相比的差异。固件这一术语涵盖了现代系统中的一系列内容,因此为了本研究的目的,我们重点关注EFI固件的安全支持。EFI是一种预引导环境,大体上,它取代了自20世纪70年代中后期以来一直很常见的旧BIOS环境。可以在这里找到比较BIOS和EFI某些方面的更多信息。电喷是怎么回事?我为什么要在乎?在现代系统中,EFI环境对安全研究人员和攻击者具有特别的吸引力,因为如果妥协成功,EFI环境提供的特权级别非常高。EFI通常被认为是在特权级别ring-2(这里是对0以下的保护环的一个很好的快速解释),这表明它的操作级别低于操作系统(ring 0)和虚拟机监控程序(ring-1)。简而言之,这意味着在EFI层进行攻击意味着你在一个允许你绕过更高级别的安全控制(包括操作系统和应用程序的安全机制)的级别上对系统施加控制。除了能够规避更高级别的安全控制之外,攻击EFI还会让对手变得非常隐蔽,很难被发现(很难相信操作系统会告诉你EFI状态的真相);这也使得对手很难移除——安装一个新的操作系统,甚至完全更换硬盘都不足以将他们赶走。最近泄露的名为Vault 7的攻击工具再次激起了人们对EFI引导/rootkits领域的兴趣,因为有一个名为SonicScrewdriver的软件利用了过去几年安全会议上公开讨论过的漏洞。如果你有兴趣阅读更多关于EFI攻击和先前发现的漏洞的信息,那么在这篇文章的末尾有一些可以进一步阅读的链接。我们的研究集中在苹果Mac生态系统上,因为苹果在某种程度上处于一种独特的地位,从硬件到固件,操作系统,一直到应用软件,都可以被认为是广泛部署的。这个单一的利益相关者生态系统使得收集和分析相关数据的工作变得简单了一些,然而,我们相信,我们发现的主要问题通常与所有负责保护EFI固件的供应商相关,而不仅仅是苹果。我们分析了什么?我们的分析是基于在研究工作的第一阶段建立的两个数据集的比较。我们的工作所依据的数据集和后续分析汇总如下:我们分析了过去三年(10.10.0-10.12.6)发布的所有Apple Mac更新,以生成包含在更大操作系统中的EFI更新和苹果发布的安全更新的分类,允许我们构建一个数据集,将操作系统构建和Mac模型映射到预期的EFI版本然后,我们收集了73000多个实际Mac系统的操作系统版本、内部版本号、Mac型号版本和EFI固件版本,ddos防御设备,这些系统部署在多个垂直行业的组织中,为我们提供了一个大型的苹果EFI环境数据集一旦我们有了这两个数据集,我们就分别对它们进行了分析,并对它们进行了比较分析,以探讨我们对Mac的EFI环境提供的安全支持级别的问题。这两个数据集之间的比较和观察到的差异为我们提供了一种方法来观察Mac的EFI的期望状态与实际状态之间的偏差对于已知的EFI漏洞,苹果已经承认并发布了补丁,我们将Mac机型和提供EFI更新的OS版本进行了关联我们还花了时间反向工程的方式,苹果EFI固件更新工具的操作,选择和应用EFI更新差异分析的关键在于了解到自2015年末以来,苹果已经发布了包含在更大操作系统中的EFI更新和安全更新。这很有用,因为这意味着最终用户甚至不必意识到他们的EFI固件需要更新,当他们更新到操作系统的最新版本时,这将自动完成。苹果将EFI更新与操作系统和安全更新捆绑在一起的另一个优势是,它为我们提供了一个三份的映射,分别是特定型号的Mac、OS构建版本和该操作系统版本附带的EFI版本。这些映射为我们提供了一个oracle,当给它提供OS版本和Mac模型作为输入时,它将提供系统应该运行的EFI版本。然后我们可以将系统运行的EFI版本与我们实际观察到的EFI版本进行比较。我们发现的目标是什么?我们的研究表明,在苹果如何为EFI固件提供安全支持方面,与他们如何支持操作系统和软件的安全性相比,存在着相当大的差异。这些差异有多种形式,既有联系又有区别。我们的分析重点概括如下:我们期望在现实世界的Mac系统上运行的EFI版本与实际运行的EFI版本之间存在着惊人的高度差异。这会导致管理员和用户安装了最新的操作系统或安全更新,但由于某些原因,EFI没有更新。使这个问题更加复杂的是,没有向用户提供通知,告知他们正在运行一个意外版本的EFI固件。这意味着用户和管理员经常忽视这样一个事实,即他们的系统的EFI可能继续易受攻击。EFI固件提供的安全支持取决于Mac的硬件型号。一些mac已经收到定期的EFI更新,一些只有在发现特定漏洞后才更新,其他的mac从未见过EFI的更新。为EFI固件提供的安全支持还取决于系统正在运行的OS版本。与运行macos10.12的相同Mac机型相比,运行osx10.11的Mac机型可以接收到截然不同的EFI更新。这就造成了一种令人困惑的情况,即一个系统的软件已完全修补并处于最新状态,但其EFI固件尚未完全修补—我们称此软件为安全软件,但固件易受攻击。对于苹果公司承认并在我们的分析期间修补的主要EFI漏洞,有惊人数量的Mac电脑型号,尽管仍在继续接收软件安全更新,ddos攻击种类如何防御,但没有收到EFI的更新。使这一问题进一步复杂化的是,最终用户很难确切地知道哪些系统正在接收EFI更新(尤其是OS或安全更新),以及特定版本的EFI可能会受到哪些安全问题的攻击。我们的分析还强调了一些与EFI固件提供的安全支持相关的其他差异。一个例子是2017年初发布的安全更新,它似乎错误地包含了EFI固件的旧版本,而不是2016年底之前的安全更新。也有一些实例表明,游戏DDoS防御,尽管密切相关的系统接收到更新,但Mac的各个模型在没有接收EFI更新的情况下表现突出。这些发现中的一些问题围绕着应用于苹果操作系统EFI固件组件和安全更新的QA级别提出了疑问。这对我意味着什么?虽然以上这些都可能很有趣,但大多数人感兴趣的是"这一切对我意味着什么?"?"我们工作的三个主要收获是:如果您运行的macOS/OS X版本比最新的主要版本(撰写本文时的Sierra版本为10.12),那么您的EFI固件可能没有收到已知EFI问题的最新修复。尽管OSX10.11(El Capitan)和10.10(Yosemite)仍然收到苹果的安全更新,但他们收到的EFI固件更新似乎落后或完全没有即使您运行的是最新版本的macOS,并且安装了最新发布的补丁,我们的数据显示,您运行的EFI固件可能不是最新版本的可能性也不小如果您正在运行以下列出的16种Mac机型之一,那么我们的数据表明您的系统根本不会收到任何EFI固件更新:Mac模型版本号iMaciMac7,1;iMac8,1;iMac9,1;iMac10,1MacBook电脑MacBook5,1;MacBook5,2MacbookAir公司MacBookAir2,1MacBookProMacBookPro3,1;MacBookPro4,1;MacBookPro5,1;MacBoo

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/60458.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8084868访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X