Двигун управління Intel - чи вразливий macOS?

На основі, наприклад, звітної програми Wired, це основна погана новина. Критичне оновлення мікропрограмного забезпечення Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Чи вразливі апаратні засоби / macOS Apple?

По-перше: в першу чергу вразливий не сам macOS, але це впливає на прошивку та відповідне обладнання. На другому кроці ваша система може бути атакована.

У комп'ютерах Macs встановлено лише деякі впливові процесори :

• Родина процесорів Intel® Core ™ 6-го та 7-го поколінь

Я перевірив кілька випадкових файлів вбудованого програмного забезпечення за допомогою інструмента MEAnalyzer і виявив принаймні деякі, що містять код Intel Management Engine:

Це MacBook Pro Retina середина 2017 року:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Запис ME в сім'ї позначає код двигуна управління.

У файлі прошивки EFIFirmware2015Update.pkg 2 з 21 міститься код Intel Management Engine, на який може вплинути CVE-2017-5705 | 5708 | 5711 | 5712.

У файлі програмного забезпечення macOS 10.13.1 update.pkg 21 з 46 міститься код Intel Management Engine, на який може вплинути CVE-2017-5705 | 5708 | 5711 | 5712.

Одне джерело та пов'язане з ним джерело стверджують, що "Intel ME випікається у кожному процесорі, але згідно з Реєстром ( 0 ) частина AMT не працює на апаратному забезпеченні Apple". AMT також пов'язаний зі старою вразливістю, і посилання Register посилається на це. Тоді CVE-2017-5711 | 5712 може не вплинути на прошивку, оскільки AMT не присутній на Macs.

Але для деяких останніх уразливостей не потрібен AMT.

На мою думку, незрозуміло, чи впливає Macs на вразливість Intel Q3'17 ME 11.x - напевно, лише Apple може сказати. Принаймні помилки SAC 4.0 та помилки TXE 3.0 не впливають на Маки!

Знімок екрана, якщо інструмент виявлення Intel запускається у завантажувальному таборі на інструменті виявлення MacBook Pro Intel Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Погані новини, хлопці

Я можу підтвердити, отримавши інформацію безпосередньо з мого місцевого магазину Apple, що Intel Macs дійсно постачається з обладнанням ME ME, і що Apple не модифікує жодного обладнання Intel. Хоча на даний момент я не можу підтвердити або заперечити, що комп'ютери працюють із програмним забезпеченням Intel чи ні для мене, інші відповіді на це питання, начебто, підказують, що вони запускають прошивку Intel.

Смію сказати, що всі машини Apple вразливі, і на них впливає набагато драматичніше, ніж на інших машинах, які вже мають доступні для виправлення на момент публікації цієї публікації. Причина полягає в тому, що багато багатьох маків, здається, мають застарілу вбудовану програму Intel, припускаючи, що вони мають її та сценарії python, які користуються іншими людьми, щоб перевірити, чи не є версія їх прошивки помилковою, або натякаючи на власну програмну програму Apple, написану для апаратного забезпечення ME, яке є присутні в машині. Klanomath, ваша машина, здається, досить накручена зі старою версією програмного забезпечення ME 9.5.3. Ця вбудована програма 11.6.5 на іншій машині також очевидно вразлива, як свідчить аудит інтелекту, як видно тут:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Потрібно оновити до 11.8.0 або вище. Зокрема, цей злом настільки тривожний, оскільки "дозволяє [з] [ан] зловмиснику з локальним доступом до системи виконувати довільний код. Багаторазові ескалації привілеїв ... дозволяють несанкціонованому процесу отримати доступ до привілейованого вмісту через не визначений вектор ... дозволити зловмиснику з локальним доступом до системи виконувати довільний код з привілеєм виконання AMT. ... дозволяє зловмиснику з віддаленим доступом адміністратора до системи виконувати довільний код з привілеєм виконання AMT. "

"Виконати довільний код, ескалацію привілеїв, віддалений доступ до системи та виконання довільного коду." Це божевільно! Тим більше, що Intel ME дозволяє віддалений доступ навіть при вимкненій системі, хоча це може бути лише з програмним забезпеченням AMT, якого, мабуть, немає у Apple.

Витяг з INTEL-SA-00086: "Зловмисник отримує фізичний доступ шляхом оновлення платформи вручну, зображення шкідливого програмного забезпечення через програміст флеш, фізично підключений до флеш-пам'яті платформи".

Якщо ваш продукт Apple не працює в загальнодоступній лабораторії, де недоброзичливці можуть отримати фізичний доступ до пристрою, вам, мабуть, не доведеться багато хвилюватися. Рекомендації щодо безпеки не згадують про це, але я читав в іншому місці на форумі ПК / Windows, напад приходить до прошивки Flash Descriptor через порт USB (флешка). Вже є USB-флеш-технологія для викрадення комп'ютера Apple за допомогою обмеженого ядра Linux на флешці. Для більшості людей це не буде великою проблемою.