Intel management engine - macOS è vulnerabile?

Primo: non è lo stesso macOS a essere vulnerabile, ma il firmware e l'hardware correlato sono interessati. In un secondo momento il tuo sistema potrebbe essere attaccato però.

Solo alcuni dei processori interessati sono installato nei Mac:

• Famiglia di processori Intel® Core ™ di sesta e settima generazione

Ho controllato alcuni file firmware casuali con lo strumento MEAnalyzer e trovato almeno alcuni dei quali contengono il codice di Intel Management Engine:

Questo è il MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Una voce ME in Famiglia indica il codice del Management Engine.

In un file EFIFirmware2015Update.pkg 2 di 21 file firmware contengono il codice di Intel Management Engine che potrebbe essere interessato da CVE-2017-5705 | 5708 | 5711 | 5712.

Nel file macOS 10.13.1 update.pkg 21 di 46 file del firmware contengono il codice di Intel Management Engine che potrebbe essere interessato da CVE-2017-5705 | 5708 | 5711 | 5712.

Una fonte e una fonte collegata in esso dichiara che "Intel ME è cotto in ogni CPU ma secondo The Registrati ( 0 ) la parte AMT non è in esecuzione sull'hardware Apple. " AMT è anche correlato a una vulnerabilità precedente e al Il collegamento al registro si riferisce a questo. Quindi il firmware potrebbe non essere influenzato da CVE-2017-5711 | 5712 perché AMT non è presente sui Mac.

Ma alcune delle vulnerabilità recenti non richiedono AMT.

Secondo me non è chiaro se i Mac siano interessati dalla vulnerabilità di Intel Q3'17 ME 11.x - probabilmente solo Apple può dirlo. Almeno i Mac non sono interessati da SPS 4.0 e dai bug di TXE 3.0!

Schermata se lo strumento di rilevamento intel viene eseguito nel campo di avvio su un MacBook Pro Q32017  Strumento di rilevamento Intel: link

Cattive notizie ragazzi

Posso confermare, con informazioni direttamente dal mio Apple Store locale, che i Mac Intel sono forniti con hardware Intel ME e che Apple non modifica alcun hardware Intel. Anche se a questo punto non posso confermare o negare che Mac esegua il firmware Intel o meno per ME, le altre risposte a questa domanda sembrano suggerire che eseguono il firmware Intel.

Oserei dire che le macchine Apple sono tutte vulnerabili e sono influenzate in modo molto più drammatico di altre macchine che hanno già le patch disponibili per il download al momento di questo post. La ragione è che molti mac sembrano avere un firmware Intel obsoleto, supponendo che ce l'abbiano e gli script Python che altre persone stanno usando per verificare la versione dei loro firmware non sono errati, o alludono al firmware scritto Apple per l'hardware ME che è presente nella macchina. Klanomath, la tua macchina sembra essere abbastanza avvitata con una vecchia versione 9.5.3 del firmware ME. Anche il firmware 11.6.5 su un'altra macchina è chiaramente vulnerabile, come da audit Intel, come visto qui:

link

Devi aggiornare a 11.8.0 o superiore. In particolare, questo hack è così preoccupante perché "permette a [s] [an] attacker con accesso locale al sistema di eseguire codice arbitrario. escalation di privilegi multipli ... consentire ai processi non autorizzati di accedere al contenuto privilegiato tramite un vettore non specificato. ... consente a un utente malintenzionato con accesso locale al sistema di eseguire codice arbitrario con il privilegio di esecuzione AMT. ... consente l'attacco con accesso di amministratore remoto al sistema per eseguire codice arbitrario con privilegio di esecuzione AMT. "

"Esegui codice arbitrario, escalation di privilegi, accesso remoto al sistema ed esecuzione di codice arbitrario." Questo è folle! Soprattutto perché Intel ME consente l'accesso remoto anche quando un sistema è spento, anche se potrebbe essere solo con il software AMT, che apparentemente Apple non ha.

Estratto da INTEL-SA-00086: "L'attaccante ottiene l'accesso fisico aggiornando manualmente la piattaforma con un'immagine del firmware dannoso tramite il programmatore flash collegato fisicamente alla memoria flash della piattaforma."

A meno che il tuo prodotto Apple non funzioni in un laboratorio pubblico in cui persone malvagie potrebbero ottenere accesso fisico al dispositivo, probabilmente non avrai molto di cui preoccuparti. L'avviso di sicurezza non lo menziona, ma ho letto altrove su un forum PC / Windows l'attacco arriva al firmware Flash Descriptor tramite una porta USB (flash drive). Esiste già una tecnologia USB-flash per dirottare un computer Apple utilizzando un kernel Linux limitato su un'unità flash. Per la maggior parte delle persone questo non sarà un grosso problema.