Двигун управління Intel - це macOS уразливий?

Based on, for example, the Wired reporting, this is major bad news. Intel® Management Engine Critical Firmware Update (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Чи є апаратне забезпечення Apple/macOS вразливим?

20
Щоб уникнути подальшої плутанини: у травні ще одна помилка, пов'язана з IME, INTEL-SA-00075 , який не впливає на продукти Apple. Деякі відповіді на це питання помилково посилалися на інформацію про попередню уразливість. Проте, це питання запитує про нещодавно повідомлену вразливість, INTEL-SA-00086 .
додано Автор Martin, джерело

5 Відповіді

По-перше, це не макрос, який в першу чергу є вразливим, але це впливає на прошивку та відповідне обладнання. На другому етапі ваша система може бути атакована.

Only some of the impacted processors are installed in Macs:

  • 6th and 7th generation Intel® Core™ Processor Family

За допомогою інструмента файли програмного забезпечення platomav/MEAnalyzer "rel =" nofollow noreferrer "> MEAnalyzer і знайдений принаймні деякий, що містять код керування двигуном Intel:

Це MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Запис МЕ в Сім'ї позначає код керування двигуном.

У EFIFirmware2015Update.pkg 2 з 21 файлів мікропрограми містять код керування двигуном Intel, на який може впливати CVE-2017-5705 | 5708 | 5711 |

У macOS 10.13.1 update.pkg 21 з 46 файлів мікропрограми містять код керування двигуном Intel, на який може впливати CVE-2017-5705 | 5708 | 5711 | 5712.

One source and a linked source therein state that "Intel ME is baked in every CPU but according to The Register (0) the AMT part is not running on Apple hardware." AMT is also related to an older vulnerability and the Register link refers to this. Then the firmware may not be affected by CVE-2017-5711|5712 because AMT isn't present on Macs.

Але деякі з останніх уразливостей не потребують AMT.


На мою думку, незрозуміло, чи постраждають Macs від вразливості Intel Q3'17 ME 11.x - напевно, тільки Apple може це сказати. Принаймні, Mac не постраждали від помилок SPS 4.0 і TXE 3.0!

9
додано
@Gilby Як згадувалося в моєму повідомленні, дві з вразливостей не покладаються на AMT: CVE-2017-5705 | 5708!
додано Автор klanomath, джерело
@Nat Ви маєте рацію: я, очевидно, пропустив першу половину речення ...
додано Автор klanomath, джерело
Зробіть відповідь read @ vykor і посилання, на які вона вказує.
додано Автор Die Hard, джерело

Screen shot if the intel detection tool run in boot camp on a Q32017 MacBook Pro Intel detection tool: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Погані новини

Screen shot if the intel detection tool run in boot camp on a Q32017 MacBook Pro

6
додано
Ця найновіша відповідь здається досить переконливою - відносно простим і прямим доказом того, що відповідь «так».
додано Автор Matthew Elvey, джерело
Я дійсно бажаю, щоб споріднений дух зробив це для 2015 Macbook Pro.
додано Автор Nostalg.io, джерело

Я можу підтвердити, з інформацією безпосередньо з мого місцевого Apple Store, що Intel Macs дійсно постачаються з Intel ME апаратним забезпеченням, і що Apple не змінює жодного обладнання Intel. Хоча на цьому етапі я не можу підтвердити або заперечувати, що Macs запускають мікропрограму Intel або ні для мене, інші відповіді на це питання, здається, припускають, що вони запускають мікропрограму Intel.

Я смію сказати, що всі машини Apple є вразливими, і вони страждають набагато більш драматичним способом, ніж інші машини, які вже мають патчі, доступні для завантаження під час публікації. Причина в тому, що багато хто з маків здаються застарілими прошивками Intel, припускаючи, що у них є і сценарії пітона, якими користуються інші користувачі, щоб перевірити версію їх прошивки, що не є помилковим, або натякаючи на спеціальну яблукову прошивку для апаратного забезпечення ME присутні в машині. Klanomath, ваша машина, здається, досить закручена зі старою версією прошивки 9.5.3. Прошивка 11.6.5 на іншій машині також чітко видно, як і в аудиті Intel, як видно тут:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Потрібно оновити до 11.8.0 або вище. Зокрема, цей хак є настільки тривожним, тому що "дозволяє [з] зловмиснику з локальним доступом до системи виконувати довільний код. Кілька ескалацій привілеїв ... дозволяють несанкціонованому доступу до привілейованого вмісту через невизначений вектор. ... дозволити зловмиснику з локальним доступом до системи виконати довільний код з привілеєм виконання AMT. ... дозволяє атакуючим з віддаленим доступом адміністратора до системи для виконання довільного коду з привілеєм виконання AMT. "

"Виконати довільний код, ескалацію привілеїв, віддалений доступ до системи і виконати довільний код". Це божевільне! Особливо , оскільки Intel ME дозволяє віддалений доступ, навіть якщо система вимкнена, хоча це може бути лише з програмним забезпеченням AMT, яке, очевидно, Apple не має.

4
додано
Прошивка (IM144_0179_B12_LOCKED.scap), згадана в коментарі до відповіді jksoegaard, не є прошивкою моєї машини, а однією з версій iMac "Core i5" 1.4 21.5-дюймовий (середина 2014 року), витягнутий з Оновлення безпеки Mac EFI 2015-002 ;-). Я думаю, що прошивка мого iMac старше.
додано Автор klanomath, джерело

Досі немає офіційного слова від Apple про це, але більшість технічних публікацій вказують, що в той час, як Apple продає свої комп'ютери з процесорами Intel з проблемною системою управління Intel, вона не поставляє ще більш проблемну прошивку (AMT і т.д.). що працює на вершині ME.

Джерела:

https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it

https://www.theregister.co.uk/2017/11/20/intel_flags_firmware_flaws/

1
додано
@vykor Це різні вразливості. Зараз існує велика суперечка щодо IME через багато проблем, пов'язаних з безпекою. EFF повідомив про це в травні, і це нові, про які повідомляє Intel. І розумний спостерігач може обґрунтовано припустити, що в майбутньому, ймовірно, буде повідомлено про інші вразливості.
додано Автор Martin, джерело
Як відзначив Intel (стосовно попередньої уразливості) : " Ця уразливість не існує на споживчих ПК на базі Intel із споживчими прошивками, сервери Intel, що використовують Серверні платформи Intel® (Intel® SPS), або процесори Intel® Xeon® E3 і Intel Робочі станції Xeon® Processor E5 використовують мікропрограму Intel® SPS. ". Іншими словами, уразливість, про яку повідомляє EFF, не вплинула на більшість комп'ютерів, Apple, Windows або інше. Ця вразливість була значно більш обмеженою за обсягом.
додано Автор Martin, джерело
@Gilby Документ EFF для іншої вразливості, яка зробила новину ще в травні, INTEL-SA-00075 . На це запитання йдеться про нещодавно зареєстровану вразливість, INTEL-SA-00086 .
додано Автор Martin, джерело
Як каже @vykor, прочитайте документ EFF. 5-й абзац. Уразливість знаходиться в модулі AMT ME, який не поставляється на пристрої Apple.
додано Автор Die Hard, джерело
Так ... але це не говорить, що Mac не мають IME.
додано Автор General Sirhc, джерело
Я зробив, і посилання EFF фактично йде проти того, що ви говорите про чіпи Intel в пристроях Apple, які не мають IME (тому що вони роблять). Крім того, для корпорації Intel було б надзвичайно невигідним у виробництві спеціальних процесорів тільки для Apple без значного зростання вартості пристрою.
додано Автор General Sirhc, джерело
1) Ці процесори виробляються компанією Intel, а не Apple. 2) Процесори Intel не є специфічними для ПК або Mac - вони можуть бути використані в будь-якому з них. 3) Intel ME вбудований в процесор, а не MacOS.
додано Автор General Sirhc, джерело
"Маки мають MEs, але не супроводжуйте AMT взагалі." Можливо, спробуйте прочитати ще ближче.
додано Автор Meh, джерело
Уважно прочитайте посилання. Apple є клієнтом високого обсягу, престижу для Intel. Якщо їх контракт визначає певні функції, які будуть відключені в поставлених мікросхемах (наприклад, програмне забезпечення AMT), я впевнений, що Intel буде більш ніж задоволений. EFF був частиною первинної групи аналітиків, які повідомили про помилки ME/AMT ще в травні. Ще немає конкретних причин підозрювати їхній аналіз.
додано Автор Meh, джерело

Витяг з INTEL-SA-00086: "Зловмисник отримує фізичний доступ, вручну оновлюючи платформу з зображенням шкідливої ​​прошивки через флеш-програміст, фізично підключений до флеш-пам'яті платформи".

Якщо продукт Apple не працює в публічній лабораторії, де люди можуть отримати фізичний доступ до пристрою, ви, мабуть, не маєте багато чого турбувати. Консультація з питань безпеки не згадує про це, але я читав в іншому місці на форумі PC/Windows, атака приходить до прошивки Flash Descriptor через порт USB (флеш-диск). Існує вже USB-флеш технологія для захоплення комп'ютера Apple за допомогою обмеженого ядра Linux на флеш-накопичувачі. Для більшості людей це не є проблемою.

0
додано
Незважаючи на це, існують деякі інші матеріали ME, які потенційно можуть працювати віддалено. Зверніть увагу, що оновлення програмного забезпечення для macOS не потребують фізичного доступу , оскільки всі вони ініціалізовані з і рівень ОС; якщо зловмисне оновлення може бути введене (в даний час неможливо AFAIK, але правдоподібним, що певна проблема в майбутньому лежить на цих лініях), то - якщо Маки використовували версію ME, яка була вразливою, то це було б дуже проблематично.
додано Автор JMY1000, джерело