Motore di gestione Intel: macOS è vulnerabile?

23

Sulla base, ad esempio, del report Wired, si tratta di una brutta notizia importante. Aggiornamento del firmware critico per Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

L'hardware / macOS di Apple è vulnerabile?

macos  mac  security  processor 
Matthew Elvey
fonte
3
Per evitare ulteriore confusione: a maggio c'era un altro bug relativo all'IME, INTEL-SA-00075 , che non sembrava influenzare i prodotti Apple. Molte delle risposte che sono apparse a questa domanda hanno erroneamente fatto riferimento a informazioni sulla vulnerabilità precedente. Tuttavia, questa domanda si pone in merito a una vulnerabilità segnalata più di recente, INTEL-SA-00086 .
Nat

Risposte:

10

Primo: non è macOS stesso a essere vulnerabile in primo luogo, ma il firmware e l'hardware correlato sono interessati. In un secondo momento, tuttavia, il tuo sistema potrebbe essere attaccato.

Solo alcuni dei processori interessati sono installati sui Mac:

  • Famiglia di processori Intel® Core ™ di sesta e settima generazione

Ho controllato alcuni file firmware casuali con lo strumento MEAnalyzer e ho trovato almeno alcuni contenenti il ​​codice Intel Management Engine:

Questo è il MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Una voce ME in Famiglia indica il codice del motore di gestione.

In un EFIFirmware2015Update.pkg 2 di 21 file del firmware contengono il codice Intel Management Engine che potrebbe essere interessato da CVE-2017-5705 | 5708 | 5711 | 5712.

In macOS 10.13.1 update.pkg 21 di 46 file del firmware contengono il codice Intel Management Engine che potrebbe essere interessato da CVE-2017-5705 | 5708 | 5711 | 5712.

Una fonte e una fonte collegata in essa dichiarano che "Intel ME è cotta in ogni CPU ma secondo The Register ( 0 ) la parte AMT non è in esecuzione su hardware Apple". AMT è anche correlato a una vulnerabilità precedente e il collegamento Register fa riferimento a questo. Quindi il firmware potrebbe non essere interessato da CVE-2017-5711 | 5712 perché AMT non è presente sui Mac.

Ma alcune delle vulnerabilità recenti non richiedono AMT.

Secondo me non è chiaro se i Mac siano interessati dalla vulnerabilità di Intel Q3'17 ME 11.x - probabilmente solo Apple può dirlo. Almeno i Mac non sono interessati dagli errori SPS 4.0 e TXE 3.0!

klanomath
fonte
@Nat Hai ragione: ovviamente ho perso la prima mezza frase ...
klanomath il
Leggi la risposta di @ vykor e i link a cui punta.
Gilby,
2
@Gilby Come menzionato nel mio post, due delle vulnerabilità non dipendono da AMT: CVE-2017-5705 | 5708!
klanomath,
6

Schermata se lo strumento di rilevamento delle informazioni viene eseguito nel boot camp su uno strumento di rilevamento Intel Q32017 per MacBook Pro: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Cattive notizie ragazzi

Schermata se lo strumento di rilevamento delle informazioni viene eseguito nel campo di addestramento su un MacBook Pro Q32017

pacertracer
fonte
Questa nuova risposta sembra piuttosto convincente - prove relativamente semplici e dirette che la risposta è sì.
Matthew Elvey
Vorrei davvero che uno spirito affine facesse questo per il Macbook Pro 2015.
Nostalg.io
4

Posso confermare, con le informazioni direttamente dal mio Apple Store locale, che i Mac Intel vengono effettivamente forniti con hardware Intel ME e che Apple non modifica alcun hardware Intel. Anche se a questo punto non posso confermare o negare che i Mac eseguano il firmware Intel o no per ME, le altre risposte a questa domanda sembrano suggerire che eseguano il firmware Intel.

Oserei dire che le macchine Apple sono tutte vulnerabili e sono interessate in modo molto più drammatico rispetto ad altre macchine che hanno già patch disponibili per il download al momento di questo post. Il motivo è che molti Mac sembrano avere un firmware Intel obsoleto, supponendo che lo abbiano e gli script Python utilizzati da altre persone per verificare che la versione del firmware non sia errata, o che alludano al firmware scritto Apple personalizzato per l'hardware ME che è presente nella macchina. Klanomath, la tua macchina sembra essere abbastanza fregata con una vecchia versione 9.5.3 del firmware ME. Anche il firmware 11.6.5 su un'altra macchina è chiaramente vulnerabile, come da audit Intel, come visto qui:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Devi aggiornare a 11.8.0 o versioni successive. In particolare, questo hack è così preoccupante perché "consente a [s] [un] utente malintenzionato con accesso locale al sistema di eseguire codice arbitrario. Escalation di privilegi multipli ... consentono a processi non autorizzati di accedere a contenuti privilegiati tramite vettore non specificato ... consentire a un utente malintenzionato con accesso locale al sistema di eseguire codice arbitrario con privilegio di esecuzione AMT. ... consente a un utente malintenzionato con accesso remoto di Admin al sistema di eseguire codice arbitrario con privilegio di esecuzione AMT. "

"Esegui codice arbitrario, escalation di privilegi, accesso remoto al sistema ed esegui codice arbitrario." Questo è folle! Soprattutto perché Intel ME consente l'accesso remoto anche quando un sistema è spento, anche se questo potrebbe essere solo con il software AMT, che apparentemente Apple non ha.

Robert Wilson
fonte
Il firmware (IM144_0179_B12_LOCKED.scap) menzionato nel commento alla risposta di jksoegaard non è il firmware della mia macchina ma quello di un iMac "Core i5" 1.4 21,5 pollici (metà 2014) che ho estratto da Mac EFI Security Update 2015-002 ; - ). Penso che il firmware del mio iMac sia più vecchio.
klanomath il
0

Estratto da INTEL-SA-00086: "L'attaccante ottiene l'accesso fisico aggiornando manualmente la piattaforma con un'immagine del firmware dannosa tramite un programmatore flash collegato fisicamente alla memoria flash della piattaforma."

A meno che il tuo prodotto Apple non stia funzionando in un laboratorio pubblico in cui persone maligne possano ottenere l' accesso fisico al dispositivo, probabilmente non avrai molto di cui preoccuparti. L'avviso di sicurezza non lo menziona, ma ho letto altrove su un forum PC / Windows l'attacco arriva al firmware Flash Descriptor tramite una porta USB (unità flash). Esiste già una tecnologia USB-flash per dirottare un computer Apple utilizzando un kernel Linux limitato su un'unità flash. Per la maggior parte delle persone questo non sarà un grosso problema.

Craig
fonte
2
Sebbene sia vero per questo, ci sono altre cose ME che potenzialmente potrebbero funzionare in remoto. Tieni presente che gli aggiornamenti del firmware su macOS non richiedono l'accesso fisico poiché sono tutti inizializzati dal livello del sistema operativo; se si potesse iniettare un aggiornamento dannoso (al momento non è possibile AFAIK, ma è plausibile che in futuro si verifichino problemi in questo senso), se i Mac utilizzassero una versione di ME vulnerabile, ciò sarebbe molto problematico.
JMY1000,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.