Silnik zarządzania Intel - czy MacOS jest podatny na ataki?

23

Opierając się na przykład na raportowaniu przewodowym, jest to poważna zła wiadomość. Krytyczna aktualizacja oprogramowania układowego Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Czy sprzęt Apple / macOS jest wrażliwy?

Matthew Elvey
źródło
3
Aby uniknąć dalszych nieporozumień: w maju pojawił się kolejny błąd związany z IME, INTEL-SA-00075 , który nie miał wpływu na produkty Apple. Kilka odpowiedzi, które pojawiły się na to pytanie, błędnie odnosiło się do informacji o wcześniejszej podatności. To pytanie dotyczy jednak ostatnio zgłoszonej luki w zabezpieczeniach, INTEL-SA-00086 .
Nat

Odpowiedzi:

10

Po pierwsze: to nie sam MacOS jest podatny na atak, ale dotyczy to oprogramowania układowego i powiązanego sprzętu. W drugim etapie twój system może zostać zaatakowany.

Tylko niektóre procesory, których dotyczy problem, są zainstalowane na komputerach Mac:

  • Rodzina procesorów Intel® Core ™ 6. i 7. generacji

Sprawdziłem niektóre losowe pliki oprogramowania układowego za pomocą narzędzia MEAnalyzer i znalazłem przynajmniej niektóre zawierające kod Intel Management Engine:

Oto MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Wpis ME w rodzinie oznacza kod silnika zarządzania.

W EFIFirmware2015Update.pkg 2 z 21 plików oprogramowania układowego zawiera kod Intel Management Engine, na który może mieć wpływ CVE-2017-5705 | 5708 | 5711 | 5712.

W aktualizacji systemu macOS 10.13.1.pkg 21 z 46 plików oprogramowania układowego zawiera kod Intel Management Engine, na który może mieć wpływ CVE-2017-5705 | 5708 | 5711 | 5712.

Jedno źródło i powiązane źródło stwierdzają, że „Intel ME jest wypiekany na każdym procesorze, ale zgodnie z The Register ( 0 ) część AMT nie działa na sprzęcie Apple”. AMT jest również związany ze starszą luką, a link do rejestru odnosi się do tego. W takim przypadku CVE-2017-5711 | 5712 może nie mieć wpływu na oprogramowanie wewnętrzne, ponieważ AMT nie występuje na komputerach Mac.

Ale niektóre z ostatnich luk nie wymagają AMT.


Moim zdaniem nie jest jasne, czy na komputery Mac wpływa luka Intel Q3'17 ME 11.x - prawdopodobnie tylko Apple może to stwierdzić. Błędy SPS 4.0 i TXE 3.0 nie dotyczą przynajmniej komputerów Mac!

klanomath
źródło
@Nat Masz rację: oczywiście brakowało mi zdania w pierwszej połowie ...
klanomath
Przeczytaj odpowiedź @ vykor i linki, do których prowadzą.
Gilby
2
@Gilby Jak wspomniano w moim poście, dwie usterki nie polegają na AMT: CVE-2017-5705 | 5708!
klanomath
6

Zrzut ekranu, jeśli narzędzie do wykrywania Intel działa w boot campie na urządzeniu do wykrywania Intel Q32017 MacBook Pro: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Złe wieści chłopaki

Zrzut ekranu, jeśli narzędzie do wykrywania Intel działa w boot campie na komputerze MacBook Pro Q32017

pacertracer
źródło
Ta najnowsza odpowiedź wydaje się dość przekonująca - stosunkowo prosty i bezpośredni dowód na to, że odpowiedź brzmi „tak”.
Matthew Elvey,
Naprawdę chciałbym, żeby pokrewny duch zrobił to w przypadku Macbooka Pro 2015.
Nostalg.io
4

Mogę potwierdzić, za pomocą informacji bezpośrednio z mojego lokalnego Apple Store, że komputery Mac Intel rzeczywiście są dostarczane ze sprzętem Intel ME i że Apple nie modyfikuje żadnego sprzętu Intel. Chociaż w tym momencie nie mogę potwierdzić ani zaprzeczyć, że komputery Mac obsługują oprogramowanie Intel, czy nie dla ME, inne odpowiedzi na to pytanie wydają się sugerować, że obsługują oprogramowanie Intel.

Śmiem twierdzić, że wszystkie maszyny Apple są podatne na ataki i są dotknięte znacznie bardziej dramatycznie niż inne maszyny, które już mają łatki do pobrania w momencie publikacji tego postu. Powodem jest to, że wiele komputerów Mac wydaje się mieć nieaktualne oprogramowanie Intel, przy założeniu, że je mają, a skrypty pythonowe używane przez innych ludzi do sprawdzania wersji ich oprogramowania nie są błędne lub nawiązują do niestandardowego oprogramowania Apple napisanego dla sprzętu ME, który jest obecny w maszynie. Klanomath, twoja maszyna wydaje się dość wkręcona ze starą wersją oprogramowania ME w wersji 9.5.3. To oprogramowanie wewnętrzne 11.6.5 na innej maszynie jest również w pełni zrozumiałe, zgodnie z audytem Intel, jak widać tutaj:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Musisz zaktualizować do wersji 11.8.0 lub nowszej. W szczególności ten hack jest tak kłopotliwy, ponieważ „pozwala [s] [anemu] lokalnemu dostępowi do systemu na wykonanie dowolnego kodu. Wiele eskalacji uprawnień ... pozwala nieautoryzowanemu procesowi na dostęp do uprzywilejowanej treści za pośrednictwem nieokreślonego wektora. ... zezwól osobie atakującej z lokalnym dostępem do systemu na wykonanie dowolnego kodu z uprawnieniem do wykonywania AMT ... pozwala osobie atakującej ze zdalnym dostępem administratora do systemu na wykonanie dowolnego kodu z uprawnieniem do wykonywania AMT.

„Wykonaj dowolny kod, eskalację uprawnień, zdalny dostęp do systemu i wykonaj dowolny kod”. To szalone! Zwłaszcza, że Intel ME pozwala na zdalny dostęp, nawet gdy system jest wyłączony, chociaż może to być tylko z oprogramowaniem AMT, którego najwyraźniej Apple nie ma.

Robert Wilson
źródło
Oprogramowanie układowe (IM144_0179_B12_LOCKED.scap) wspomniane w komentarzu do odpowiedzi jksoegaard nie jest oprogramowaniem układowym mojego komputera, ale oprogramowaniem iMaca „Core i5” 1.4 21,5 cala (połowa 2014 r.), Które wyodrębniłem z aktualizacji Mac EFI Security Update 2015-002 ; - ). Myślę, że oprogramowanie wewnętrzne mojego iMaca jest starsze.
klanomath
0

Fragment INTEL-SA-00086: „Osoba atakująca uzyskuje dostęp fizyczny, ręcznie aktualizując platformę za pomocą złośliwego oprogramowania układowego za pomocą programatora flash fizycznie podłączonego do pamięci flash platformy”.

O ile Twój produkt Apple nie działa w publicznym laboratorium, w którym nikczemni ludzie mogą uzyskać fizyczny dostęp do urządzenia, prawdopodobnie nie masz się o co martwić. Poradnik bezpieczeństwa nie wspomina o tym, ale czytam gdzie indziej na forum PC / Windows atak przychodzi do oprogramowania Flash Descriptor przez port USB (dysk flash). Istnieje już technologia flash USB do przechwytywania komputera Apple przy użyciu ograniczonego jądra Linux na dysku flash. Dla większości ludzi nie będzie to wielkim problemem.

Craig
źródło
2
Chociaż jest to prawdą, istnieją pewne inne elementy ME, które potencjalnie mogłyby działać zdalnie. Pamiętaj, że aktualizacje oprogramowania układowego w systemie macOS nie wymagają fizycznego dostępu, ponieważ wszystko jest inicjowane z poziomu systemu operacyjnego; jeśli złośliwa aktualizacja mogłaby zostać wstrzyknięta (obecnie nie jest to możliwe AFAIK, ale prawdopodobne jest, że jakiś problem w przyszłości leży w tym kierunku), to - jeśli komputery Mac użyłyby wersji ME, która była podatna na atak, byłoby to bardzo problematyczne.
JMY1000,