Silnik zarządzania Intel - czy MacOS jest podatny na ataki?

Opierając się na przykład na raportowaniu przewodowym, jest to poważna zła wiadomość. Krytyczna aktualizacja oprogramowania układowego Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Czy sprzęt Apple / macOS jest wrażliwy?

Po pierwsze: to nie sam MacOS jest podatny na atak, ale dotyczy to oprogramowania układowego i powiązanego sprzętu. W drugim etapie twój system może zostać zaatakowany.

Tylko niektóre procesory, których dotyczy problem, są zainstalowane na komputerach Mac:

• Rodzina procesorów Intel® Core ™ 6. i 7. generacji

Sprawdziłem niektóre losowe pliki oprogramowania układowego za pomocą narzędzia MEAnalyzer i znalazłem przynajmniej niektóre zawierające kod Intel Management Engine:

Oto MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Wpis ME w rodzinie oznacza kod silnika zarządzania.

W EFIFirmware2015Update.pkg 2 z 21 plików oprogramowania układowego zawiera kod Intel Management Engine, na który może mieć wpływ CVE-2017-5705 | 5708 | 5711 | 5712.

W aktualizacji systemu macOS 10.13.1.pkg 21 z 46 plików oprogramowania układowego zawiera kod Intel Management Engine, na który może mieć wpływ CVE-2017-5705 | 5708 | 5711 | 5712.

Jedno źródło i powiązane źródło stwierdzają, że „Intel ME jest wypiekany na każdym procesorze, ale zgodnie z The Register ( 0 ) część AMT nie działa na sprzęcie Apple”. AMT jest również związany ze starszą luką, a link do rejestru odnosi się do tego. W takim przypadku CVE-2017-5711 | 5712 może nie mieć wpływu na oprogramowanie wewnętrzne, ponieważ AMT nie występuje na komputerach Mac.

Ale niektóre z ostatnich luk nie wymagają AMT.

Moim zdaniem nie jest jasne, czy na komputery Mac wpływa luka Intel Q3'17 ME 11.x - prawdopodobnie tylko Apple może to stwierdzić. Błędy SPS 4.0 i TXE 3.0 nie dotyczą przynajmniej komputerów Mac!

Zrzut ekranu, jeśli narzędzie do wykrywania Intel działa w boot campie na urządzeniu do wykrywania Intel Q32017 MacBook Pro: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Złe wieści chłopaki

Mogę potwierdzić, za pomocą informacji bezpośrednio z mojego lokalnego Apple Store, że komputery Mac Intel rzeczywiście są dostarczane ze sprzętem Intel ME i że Apple nie modyfikuje żadnego sprzętu Intel. Chociaż w tym momencie nie mogę potwierdzić ani zaprzeczyć, że komputery Mac obsługują oprogramowanie Intel, czy nie dla ME, inne odpowiedzi na to pytanie wydają się sugerować, że obsługują oprogramowanie Intel.

Śmiem twierdzić, że wszystkie maszyny Apple są podatne na ataki i są dotknięte znacznie bardziej dramatycznie niż inne maszyny, które już mają łatki do pobrania w momencie publikacji tego postu. Powodem jest to, że wiele komputerów Mac wydaje się mieć nieaktualne oprogramowanie Intel, przy założeniu, że je mają, a skrypty pythonowe używane przez innych ludzi do sprawdzania wersji ich oprogramowania nie są błędne lub nawiązują do niestandardowego oprogramowania Apple napisanego dla sprzętu ME, który jest obecny w maszynie. Klanomath, twoja maszyna wydaje się dość wkręcona ze starą wersją oprogramowania ME w wersji 9.5.3. To oprogramowanie wewnętrzne 11.6.5 na innej maszynie jest również w pełni zrozumiałe, zgodnie z audytem Intel, jak widać tutaj:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Musisz zaktualizować do wersji 11.8.0 lub nowszej. W szczególności ten hack jest tak kłopotliwy, ponieważ „pozwala [s] [anemu] lokalnemu dostępowi do systemu na wykonanie dowolnego kodu. Wiele eskalacji uprawnień ... pozwala nieautoryzowanemu procesowi na dostęp do uprzywilejowanej treści za pośrednictwem nieokreślonego wektora. ... zezwól osobie atakującej z lokalnym dostępem do systemu na wykonanie dowolnego kodu z uprawnieniem do wykonywania AMT ... pozwala osobie atakującej ze zdalnym dostępem administratora do systemu na wykonanie dowolnego kodu z uprawnieniem do wykonywania AMT. ”

„Wykonaj dowolny kod, eskalację uprawnień, zdalny dostęp do systemu i wykonaj dowolny kod”. To szalone! Zwłaszcza, że Intel ME pozwala na zdalny dostęp, nawet gdy system jest wyłączony, chociaż może to być tylko z oprogramowaniem AMT, którego najwyraźniej Apple nie ma.

Fragment INTEL-SA-00086: „Osoba atakująca uzyskuje dostęp fizyczny, ręcznie aktualizując platformę za pomocą złośliwego oprogramowania układowego za pomocą programatora flash fizycznie podłączonego do pamięci flash platformy”.

O ile Twój produkt Apple nie działa w publicznym laboratorium, w którym nikczemni ludzie mogą uzyskać fizyczny dostęp do urządzenia, prawdopodobnie nie masz się o co martwić. Poradnik bezpieczeństwa nie wspomina o tym, ale czytam gdzie indziej na forum PC / Windows atak przychodzi do oprogramowania Flash Descriptor przez port USB (dysk flash). Istnieje już technologia flash USB do przechwytywania komputera Apple przy użyciu ograniczonego jądra Linux na dysku flash. Dla większości ludzi nie będzie to wielkim problemem.