Двигун управління Intel - чи вразливий macOS?


23

На основі, наприклад, звітної програми Wired, це основна погана новина. Критичне оновлення мікропрограмного забезпечення Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Чи вразливі апаратні засоби / macOS Apple?


3
Щоб уникнути подальшої плутанини: ще в травні була інша помилка, пов’язана з IME, INTEL-SA-00075 , яка, схоже, не вплинула на продукти Apple. Кілька відповідей, які з'явилися на це питання, помилково посилаються на інформацію про попередню вразливість. Однак це питання задає питання про вразливість останніх часів , INTEL-SA-00086 .
Нат

Відповіді:


10

По-перше: в першу чергу вразливий не сам macOS, але це впливає на прошивку та відповідне обладнання. На другому кроці ваша система може бути атакована.

У комп'ютерах Macs встановлено лише деякі впливові процесори :

  • Родина процесорів Intel® Core ™ 6-го та 7-го поколінь

Я перевірив кілька випадкових файлів вбудованого програмного забезпечення за допомогою інструмента MEAnalyzer і виявив принаймні деякі, що містять код Intel Management Engine:

Це MacBook Pro Retina середина 2017 року:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Запис ME в сім'ї позначає код двигуна управління.

У файлі прошивки EFIFirmware2015Update.pkg 2 з 21 міститься код Intel Management Engine, на який може вплинути CVE-2017-5705 | 5708 | 5711 | 5712.

У файлі програмного забезпечення macOS 10.13.1 update.pkg 21 з 46 міститься код Intel Management Engine, на який може вплинути CVE-2017-5705 | 5708 | 5711 | 5712.

Одне джерело та пов'язане з ним джерело стверджують, що "Intel ME випікається у кожному процесорі, але згідно з Реєстром ( 0 ) частина AMT не працює на апаратному забезпеченні Apple". AMT також пов'язаний зі старою вразливістю, і посилання Register посилається на це. Тоді CVE-2017-5711 | 5712 може не вплинути на прошивку, оскільки AMT не присутній на Macs.

Але для деяких останніх уразливостей не потрібен AMT.


На мою думку, незрозуміло, чи впливає Macs на вразливість Intel Q3'17 ME 11.x - напевно, лише Apple може сказати. Принаймні помилки SAC 4.0 та помилки TXE 3.0 не впливають на Маки!


@Nat Ви маєте рацію: я, очевидно, пропустив перше півріччя речення ...
klanomath

Прочитайте відповідь @ vykor та посилання, на які вона вказує.
Гілбі

2
@Gilby Як згадувалося в моєму дописі, дві вразливості не покладаються на AMT: CVE-2017-5705 | 5708!
кланомат

6

Знімок екрана, якщо інструмент виявлення Intel запускається у завантажувальному таборі на інструменті виявлення MacBook Pro Intel Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Погані новини, хлопці

Знімок екрана, якщо інструмент виявлення інтелекту запускається у завантажувальному таборі на MacBook Pro Q32017


Ця найновіша відповідь здається досить переконливою - відносно простий і простий доказ того, що відповідь "так".
Меттью Елві

Я дуже хочу, щоб споріднений дух зробив це для Macbook Pro 2015 року.
Nostalg.io

4

Я можу підтвердити, отримавши інформацію безпосередньо з мого місцевого магазину Apple, що Intel Macs дійсно постачається з обладнанням ME ME, і що Apple не модифікує жодного обладнання Intel. Хоча на даний момент я не можу підтвердити або заперечити, що комп'ютери працюють із програмним забезпеченням Intel чи ні для мене, інші відповіді на це питання, начебто, підказують, що вони запускають прошивку Intel.

Смію сказати, що всі машини Apple вразливі, і на них впливає набагато драматичніше, ніж на інших машинах, які вже мають доступні для виправлення на момент публікації цієї публікації. Причина полягає в тому, що багато багатьох маків, здається, мають застарілу вбудовану програму Intel, припускаючи, що вони мають її та сценарії python, які користуються іншими людьми, щоб перевірити, чи не є версія їх прошивки помилковою, або натякаючи на власну програмну програму Apple, написану для апаратного забезпечення ME, яке є присутні в машині. Klanomath, ваша машина, здається, досить накручена зі старою версією програмного забезпечення ME 9.5.3. Ця вбудована програма 11.6.5 на іншій машині також очевидно вразлива, як свідчить аудит інтелекту, як видно тут:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Потрібно оновити до 11.8.0 або вище. Зокрема, цей злом настільки тривожний, оскільки "дозволяє [з] [ан] зловмиснику з локальним доступом до системи виконувати довільний код. Багаторазові ескалації привілеїв ... дозволяють несанкціонованому процесу отримати доступ до привілейованого вмісту через не визначений вектор ... дозволити зловмиснику з локальним доступом до системи виконувати довільний код з привілеєм виконання AMT. ... дозволяє зловмиснику з віддаленим доступом адміністратора до системи виконувати довільний код з привілеєм виконання AMT. "

"Виконати довільний код, ескалацію привілеїв, віддалений доступ до системи та виконання довільного коду." Це божевільно! Тим більше, що Intel ME дозволяє віддалений доступ навіть при вимкненій системі, хоча це може бути лише з програмним забезпеченням AMT, якого, мабуть, немає у Apple.


Прошивка (IM144_0179_B12_LOCKED.scap), зазначена у коментарі до відповіді jksoegaard, - це не прошивка моєї машини, а одна з iMac "Core i5" 1,4 21,5 дюйма (середина 2014 року), яку я витягнув з Mac EFI Security Update 2015-002 ; - ). Я думаю, що прошивка мого iMac старша.
кланомат

0

Витяг з INTEL-SA-00086: "Зловмисник отримує фізичний доступ шляхом оновлення платформи вручну, зображення шкідливого програмного забезпечення через програміст флеш, фізично підключений до флеш-пам'яті платформи".

Якщо ваш продукт Apple не працює в загальнодоступній лабораторії, де недоброзичливці можуть отримати фізичний доступ до пристрою, вам, мабуть, не доведеться багато хвилюватися. Рекомендації щодо безпеки не згадують про це, але я читав в іншому місці на форумі ПК / Windows, напад приходить до прошивки Flash Descriptor через порт USB (флешка). Вже є USB-флеш-технологія для викрадення комп'ютера Apple за допомогою обмеженого ядра Linux на флешці. Для більшості людей це не буде великою проблемою.


2
Хоча це справедливо для цього, є деякі інші речі, які потенційно можуть працювати віддалено. Зауважте, що оновлення мікропрограмного забезпечення на macOS не потребують фізичного доступу, оскільки все це ініціалізовано з рівня ОС; якщо зловмисне оновлення може бути введено (наразі це неможливо AFAIK, але правдоподібно, що якась проблема в майбутньому може лежати саме за цими напрямками), тоді – якщо Macs використовував вразливу версію ME, то це було б дуже проблематично.
JMY1000
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.