Механизм управления Intel - уязвимы ли macOS?

На основании, например, проводной отчетности, это главные плохие новости. Критическое обновление встроенного ПО Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Является ли аппаратное обеспечение Apple / macOS уязвимым?

Во-первых: в первую очередь уязвима не сама macOS, а микропрограмма и соответствующее оборудование. На втором этапе ваша система может быть атакована.

Только некоторые из затронутых процессоров установлены на Mac:

• Семейство процессоров Intel® Core ™ 6-го и 7-го поколения

Я проверил некоторые случайные файлы прошивки с помощью инструмента MEAnalyzer и нашел по крайней мере некоторые, содержащие код Intel Management Engine:

Это MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Запись ME в семействе обозначает код механизма управления.

В файле EFIFirmware2015Update.pkg 2 из 21 файлов прошивки содержат код Intel Management Engine, на который может повлиять CVE-2017-5705 | 5708 | 5711 | 5712.

В macOS 10.13.1 update.pkg 21 из 46 файлов прошивки содержат код Intel Management Engine, на который может повлиять CVE-2017-5705 | 5708 | 5711 | 5712.

Один источник и связанный с ним источник утверждают, что «Intel ME запекается в каждом процессоре, но согласно The Register ( 0 ) часть AMT не работает на оборудовании Apple». AMT также связана с более старой уязвимостью, и ссылка на регистр ссылается на это. Тогда CVE-2017-5711 | 5712 может не повлиять на микропрограмму, поскольку AMT отсутствует на компьютерах Mac.

Но некоторые из недавних уязвимостей не требуют AMT.

На мой взгляд, неясно, затронута ли Mac уязвимостью Intel Q3'17 ME 11.x - вероятно, только Apple может сказать. По крайней мере, на Mac не влияют ошибки SPS 4.0 и TXE 3.0!

Снимок экрана: инструмент обнаружения Intel запускается в загрузочном лагере на инструменте обнаружения MacBook Pro Intel Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Плохие новости ребята

С помощью информации, полученной непосредственно из моего местного Apple Store, я могу подтвердить, что компьютеры Intel Mac действительно поставляются с оборудованием Intel ME, и что Apple не модифицирует оборудование Intel. Хотя в данный момент я не могу подтвердить или опровергнуть, что Mac запускает прошивку Intel или нет для ME, другие ответы на этот вопрос, похоже, предполагают, что они работают с прошивкой Intel.

Я осмелюсь сказать, что все компьютеры Apple уязвимы и подвержены гораздо более серьезному воздействию, чем другие машины, у которых уже есть патчи, доступные для загрузки на момент публикации. Причина в том, что многие Mac, похоже, устарели прошивки Intel, при условии, что они есть, и скрипты python, которые другие люди используют для проверки версии своих прошивок, не ошибочны или ссылаются на пользовательские написанные Apple прошивки для аппаратного обеспечения ME, которое присутствует в машине. Klanomath, ваша машина, похоже, довольно испорчена старой версией прошивки ME как 9.5.3. Эта прошивка 11.6.5 на другой машине также явно уязвима, согласно аудиту Intel, как показано здесь:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Вам нужно обновить до 11.8.0 или выше. В частности, этот хак вызывает беспокойство, поскольку он "позволяет злоумышленнику с локальным доступом к системе выполнить произвольный код. Многократное повышение привилегий ... позволяет несанкционированному процессу получать доступ к привилегированному контенту через неопределенный вектор. ... разрешить злоумышленнику с локальным доступом к системе выполнить произвольный код с привилегией выполнения AMT. ... позволяет злоумышленнику с удаленным доступом администратора к системе выполнить произвольный код с привилегией выполнения AMT. "

«Выполнить произвольный код, повышение привилегий, удаленный доступ к системе и выполнить произвольный код». Это безумие! Тем более, что Intel ME обеспечивает удаленный доступ, даже когда система выключена, хотя это может быть только с программным обеспечением AMT, которого, очевидно, у Apple нет.

Отрывок из INTEL-SA-00086: «Злоумышленник получает физический доступ, вручную обновляя платформу с помощью вредоносного образа прошивки через флеш-программатор, физически подключенный к флеш-памяти платформы».

Если ваш продукт Apple не работает в публичной лаборатории, где гнусные люди могут получить физический доступ к устройству, вам, вероятно, не о чем беспокоиться. Советы по безопасности не упоминают об этом, но я читал в другом месте на форуме ПК / Windows, атака идет на прошивку Flash Descriptor через USB-порт (флешку). Уже существует технология USB-flash для захвата компьютера Apple с помощью ограниченного ядра Linux на флэш-диске. Для большинства людей это не будет большой проблемой.