Mesin manajemen Intel - apakah MacOS rentan?

23

Berdasarkan, misalnya, pelaporan Wired, ini adalah berita buruk utama. Intel® Management Engine, Pembaruan Firmware Penting (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Apakah perangkat keras / macOS Apple rentan?

Matthew Elvey
sumber
3
Untuk menghindari kebingungan lebih lanjut: Ada bug lain yang terkait dengan IME pada bulan Mei, INTEL-SA-00075 , yang tampaknya tidak mempengaruhi produk Apple. Beberapa respons yang muncul untuk pertanyaan ini telah secara keliru merujuk informasi tentang kerentanan sebelumnya. Namun, pertanyaan ini menanyakan tentang kerentanan yang baru-baru ini dilaporkan, INTEL-SA-00086 .
Nat

Jawaban:

10

Pertama: itu bukan macOS itu sendiri yang rentan di tempat pertama tetapi firmware dan perangkat keras terkait terpengaruh. Pada langkah kedua sistem Anda mungkin diserang.

Hanya beberapa prosesor yang terpengaruh yang dipasang di Mac:

  • Keluarga Prosesor Intel® Core ™ generasi ke-6 dan ke-7

Saya memeriksa beberapa file firmware acak dengan alat MEAnalyzer dan menemukan setidaknya beberapa yang berisi kode Mesin Manajemen Intel:

Ini adalah MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Entri ME di Keluarga menunjukkan kode Mesin Manajemen.

Dalam EFIFirmware2015Update.pkg 2 dari 21 file firmware berisi kode Intel Management Engine yang mungkin terpengaruh oleh CVE-2017-5705 | 5708 | 5711 | 5712.

Dalam macOS 10.13.1 pembaruan.pkg 21 dari 46 file firmware berisi kode Mesin Manajemen Intel yang mungkin terpengaruh oleh CVE-2017-5705 | 5708 | 5711 | 5712.

Satu sumber dan sumber tertaut di dalamnya menyatakan bahwa "Intel ME dipanggang di setiap CPU tetapi menurut The Register ( 0 ) bagian AMT tidak berjalan pada perangkat keras Apple." AMT juga terkait dengan kerentanan yang lebih lama dan tautan Register merujuk pada ini. Maka firmware mungkin tidak terpengaruh oleh CVE-2017-5711 | 5712 karena AMT tidak ada pada Mac.

Tetapi beberapa kerentanan terbaru tidak membutuhkan AMT.


Menurut pendapat saya tidak jelas apakah Mac dipengaruhi oleh kerentanan Intel Q3'17 ME 11.x - mungkin hanya Apple yang tahu. Setidaknya Mac tidak terpengaruh oleh bug SPS 4.0 dan TXE 3.0!

klanomath
sumber
@Nat Anda benar: jelas saya melewatkan kalimat babak pertama ...
klanomath
Bacalah jawaban @ vykor dan tautan yang ditunjukkannya.
Gilby
2
@Gilby Seperti yang disebutkan dalam posting saya, dua kerentanan tidak bergantung pada AMT: CVE-2017-5705 | 5708!
klanomath
6

Tangkapan layar jika alat deteksi intel dijalankan di boot camp pada Q32017 MacBook Pro Alat deteksi Intel: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Berita buruk kawan

Tangkapan layar jika alat deteksi intel dijalankan di boot camp pada Q32017 MacBook Pro

alat pacu jantung
sumber
Jawaban terbaru ini tampaknya cukup meyakinkan - bukti yang relatif sederhana dan langsung bahwa jawabannya adalah ya.
Matthew Elvey
Saya benar-benar berharap semangat yang sama akan melakukan ini untuk Macbook Pro 2015.
Nostalg.io
4

Saya dapat mengonfirmasi, dengan info langsung dari Apple Store lokal saya, bahwa Intel Macs memang dikirimkan bersama perangkat keras Intel ME, dan bahwa Apple tidak memodifikasi perangkat keras Intel apa pun. Meskipun pada titik ini saya tidak dapat mengkonfirmasi atau menyangkal bahwa mac menjalankan firmware Intel atau tidak untuk ME, jawaban lain untuk pertanyaan ini tampaknya menunjukkan bahwa mereka menjalankan firmware Intel.

Saya berani mengatakan bahwa mesin Apple semuanya rentan, dan terpengaruh dalam cara yang jauh lebih dramatis daripada mesin lain yang sudah memiliki tambalan yang tersedia untuk diunduh pada saat posting ini. Alasannya adalah bahwa banyak banyak mac yang sepertinya sudah ketinggalan zaman Intel firmware, dengan asumsi mereka memilikinya dan skrip python yang digunakan orang lain untuk memeriksa versi firmware mereka tidak salah, atau menyinggung custom firmware yang ditulis Apple untuk perangkat keras ME yang hadir di mesin. Klanomath, mesin Anda tampaknya cukup kacau dengan versi 9.5.3 firmware ME. 11.6.5 firmware pada komputer lain itu juga jelas tidak dapat diperbaiki, sesuai dengan audit intel, seperti yang terlihat di sini:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Anda perlu memperbarui ke 11.8.0 atau lebih tinggi. Secara khusus, peretasan ini sangat meresahkan karena "memungkinkan [seorang] penyerang dengan akses lokal ke sistem untuk mengeksekusi kode arbitrer. Beberapa peningkatan hak istimewa ... memungkinkan proses yang tidak sah untuk mengakses konten istimewa melalui vektor yang tidak ditentukan. ... izinkan penyerang dengan akses lokal ke sistem untuk mengeksekusi kode arbitrer dengan hak istimewa eksekusi AMT ... ... memungkinkan penyerang dengan akses Admin jarak jauh ke sistem untuk mengeksekusi kode arbitrer dengan hak eksekusi eksekusi AMT. "

"Jalankan kode arbitrer, eskalasi hak istimewa, akses jarak jauh ke sistem dan jalankan kode arbitrer." Ini gila! Terutama karena Intel ME memungkinkan akses jarak jauh bahkan ketika sistem dimatikan, meskipun itu mungkin hanya dengan perangkat lunak AMT, yang tampaknya tidak dimiliki Apple.

Robert Wilson
sumber
Firmware (IM144_0179_B12_LOCKED.scap) yang disebutkan dalam komentar untuk jawaban jksoegaard bukanlah firmware mesin saya tetapi salah satu dari iMac "Core i5" 1.4 21.5-Inch (Pertengahan 2014) yang saya ekstrak dari Pembaruan Keamanan Mac EFI 2015-002 ; - ). Saya pikir firmware iMac saya lebih tua.
klanomath
0

Kutipan dari INTEL-SA-00086: "Penyerang memperoleh akses fisik dengan memperbarui secara manual platform dengan gambar firmware berbahaya melalui pemrogram flash yang terhubung secara fisik ke memori flash platform."

Kecuali jika produk Apple Anda beroperasi di lab umum di mana orang jahat dapat memperoleh akses fisik ke perangkat, Anda mungkin tidak perlu terlalu khawatir. Penasihat keamanan tidak menyebutkannya, tetapi saya membaca di tempat lain di forum PC / Windows serangannya datang ke firmware Flash Descriptor melalui port USB (flash drive). Sudah ada teknologi USB-flash untuk membajak komputer Apple menggunakan kernel Linux terbatas pada flash drive. Bagi kebanyakan orang ini tidak akan menjadi masalah besar.

Craig
sumber
2
Meskipun benar untuk ini, ada beberapa hal ME lainnya yang berpotensi dapat bekerja dari jarak jauh. Perhatikan bahwa pembaruan firmware pada macOS tidak memerlukan akses fisik karena semuanya diinisialisasi dari dan tingkat OS; jika pembaruan berbahaya dapat disuntikkan (saat ini tidak mungkin AFAIK, tetapi masuk akal bahwa beberapa masalah di masa depan ada di sepanjang garis-garis ini) kemudian – jika Mac menggunakan versi ME yang rentan, maka ini akan sangat bermasalah.
JMY1000