Mecanismo de gerenciamento Intel - o macOS é vulnerável?

23

Com base, por exemplo, nos relatórios Wired, essas são as principais más notícias. Atualização crítica do firmware do mecanismo de gerenciamento Intel® (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

O hardware / macOS da Apple é vulnerável?

Matthew Elvey
fonte
3
Para evitar mais confusões: havia outro bug relacionado ao IME em maio, o INTEL-SA-00075 , que não parecia afetar os produtos da Apple. Várias das respostas que surgiram a essa pergunta referenciaram informações por engano sobre a vulnerabilidade anterior. No entanto, esta pergunta é sobre uma vulnerabilidade relatada mais recentemente, INTEL-SA-00086 .
Nat

Respostas:

10

Primeiro: não é o próprio macOS vulnerável, mas o firmware e o hardware relacionado são afetados. Em um segundo passo, seu sistema pode ser atacado.

Apenas alguns dos processadores afetados estão instalados nos Macs:

  • Família de processadores Intel® Core ™ de 6ª e 7ª geração

Verifiquei alguns arquivos aleatórios de firmware com a ferramenta MEAnalyzer e encontrei pelo menos alguns que continham o código do Intel Management Engine:

Este é o MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Uma entrada do ME na família indica o código do mecanismo de gerenciamento.

Em um EFIFirmware2015Update.pkg, 2 de 21 arquivos de firmware contêm o código do Intel Management Engine que pode ser afetado pelo CVE-2017-5705 | 5708 | 5711 | 5712.

No macOS 10.13.1 update.pkg, 21 de 46 arquivos de firmware contêm o código do Intel Management Engine que pode ser afetado pelo CVE-2017-5705 | 5708 | 5711 | 5712.

Uma fonte e uma fonte vinculada afirmam que "o Intel ME é instalado em todas as CPUs, mas de acordo com o The Register ( 0 ), a parte AMT não está sendo executada no hardware da Apple". A AMT também está relacionada a uma vulnerabilidade mais antiga e o link Register se refere a isso. O firmware pode não ser afetado pelo CVE-2017-5711 | 5712, pois o AMT não está presente nos Macs.

Mas algumas das vulnerabilidades recentes não requerem AMT.


Na minha opinião, não está claro se os Macs são afetados pela vulnerabilidade do Intel Q3'17 ME 11.x - provavelmente apenas a Apple pode saber. Pelo menos os Macs não são afetados pelos erros do SPS 4.0 e TXE 3.0!

Klanomath
fonte
@Nat Você está certo: obviamente, eu perdi a primeira metade frase ...
klanomath
Leia a resposta do @ vykor e os links para os quais ele aponta.
Gilby
2
@ Gilby Conforme mencionado no meu post, duas das vulnerabilidades não dependem da AMT: CVE-2017-5705 | 5708!
klanomath
6

Captura de tela se a ferramenta de detecção intel executar no campo de treinamento em uma ferramenta de detecção Intel MacBook Pro Q32017: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Caras más notícias

Captura de tela se a ferramenta de detecção intel for executada no campo de treinamento em um MacBook Pro Q32017

pacertracer
fonte
Essa resposta mais recente parece bastante convincente - evidência relativamente simples e direta de que a resposta é sim.
Matthew Elvey
Eu realmente gostaria que um espírito afim fizesse isso no Macbook Pro de 2015.
Nostalg.io
4

Posso confirmar, com informações diretamente da Apple Store local, que os Macs Intel são realmente fornecidos com o hardware Intel ME e que a Apple não modifica nenhum hardware Intel. Embora neste momento eu não possa confirmar ou negar que os macs executem o firmware Intel ou não para o ME, as outras respostas a esta pergunta parecem sugerir que eles executam o firmware da Intel.

Ouso dizer que as máquinas Apple são todas vulneráveis ​​e são afetadas de maneira muito mais dramática do que outras máquinas que já possuem patches disponíveis para download no momento desta publicação. O motivo é que muitos macs parecem ter desatualizado o firmware da Intel, supondo que o possuam e os scripts python que outras pessoas estão usando para verificar a versão do firmware não sejam errôneos ou aludindo ao firmware escrito da Apple personalizado para o hardware ME que é presente na máquina. Por outro lado, sua máquina parece estar bastante ferrada com uma versão antiga do firmware ME 9.5.3. Esse firmware 11.6.5 em outra máquina também é claramente vulnurável também, conforme a auditoria da Intel, como visto aqui:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Você precisa atualizar para 11.8.0 ou superior. Em particular, esse hack é tão preocupante porque "permite que um invasor com acesso local ao sistema execute código arbitrário. Múltiplas escalações de privilégios ... permitem que processos não autorizados acessem conteúdo privilegiado por meio de vetor não especificado. ... permite que o invasor com acesso local ao sistema execute código arbitrário com privilégio de execução da AMT ... permite que o invasor com acesso Admin remoto ao sistema execute código arbitrário com o privilégio de execução da AMT. "

"Execute código arbitrário, escalação de privilégios, acesso remoto ao sistema e execute código arbitrário." Isso é uma loucura! Especialmente porque o Intel ME permite acesso remoto, mesmo quando o sistema está desligado, embora isso possa acontecer apenas com o software AMT, que aparentemente a Apple não possui.

Robert Wilson
fonte
O firmware (IM144_0179_B12_LOCKED.scap) mencionado no comentário à resposta de jksoegaard não é o firmware da minha máquina, mas o de um iMac "Core i5" 1.4 21,5 polegadas (meados de 2014) extraído da Atualização de segurança 2015 do EFI do Mac 2015-002 ; - ) Eu acho que o firmware do meu iMac é mais antigo.
klanomath
0

Trecho da INTEL-SA-00086: "O invasor obtém acesso físico atualizando manualmente a plataforma com uma imagem de firmware mal-intencionada através do programador flash fisicamente conectado à memória flash da plataforma".

A menos que seu produto Apple esteja operando em um laboratório público, onde pessoas nefastas podem obter acesso físico ao dispositivo, você provavelmente não terá muito com que se preocupar. O aviso de segurança não menciona, mas li em outro lugar do fórum do PC / Windows que o ataque ocorre com o firmware do Flash Descriptor através de uma porta USB (unidade flash). Já existe a tecnologia flash USB para seqüestrar um computador Apple usando um kernel Linux limitado em uma unidade flash. Para a maioria das pessoas, isso não será um problema.

Craig
fonte
2
Embora isso seja verdade, existem outras coisas que podem potencialmente funcionar remotamente. Observe que as atualizações de firmware no macOS não exigem acesso físico, pois tudo foi inicializado no nível do sistema operacional; se uma atualização maliciosa puder ser injetada (atualmente não é possível o AFAIK, mas é plausível que algum problema ocorra nesse sentido), então - se os Macs usassem uma versão do ME vulnerável, isso seria muito problemático.
JMY1000