Motor de administración Intel: ¿es vulnerable macOS?

Según, por ejemplo, los informes de Wired, estas son malas noticias importantes. Actualización crítica de firmware de Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

¿Es vulnerable el hardware de Apple / macOS?

Primero: no es macOS lo que es vulnerable en primer lugar, pero el firmware y el hardware relacionado se ven afectados. Sin embargo, en un segundo paso, su sistema puede ser atacado.

Solo algunos de los procesadores afectados están instalados en Mac:

• Familia de procesadores Intel® Core ™ de 6.a y 7.a generación

Revisé algunos archivos de firmware aleatorios con la herramienta MEAnalyzer y encontré al menos algunos que contienen el código Intel Management Engine:

Esta es la MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Una entrada ME en Familia indica el código del motor de gestión.

En un EFIFirmware2015Update.pkg, 2 de 21 archivos de firmware contienen código Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

En macOS 10.13.1 update.pkg, 21 de 46 archivos de firmware contienen código de Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

Una fuente y una fuente vinculada en el mismo indican que "Intel ME está integrado en cada CPU pero, según The Register ( 0 ), la parte AMT no se ejecuta en el hardware de Apple". AMT también está relacionado con una vulnerabilidad anterior y el enlace Registrarse se refiere a esto. Entonces, el firmware puede no verse afectado por CVE-2017-5711 | 5712 porque AMT no está presente en Mac.

Pero algunas de las vulnerabilidades recientes no requieren AMT.

En mi opinión, no está claro si las Mac se ven afectadas por la vulnerabilidad Intel Q3'17 ME 11.x, probablemente solo Apple puede decirlo. ¡Al menos las Mac no se ven afectadas por los errores de SPS 4.0 y TXE 3.0!

Captura de pantalla si la herramienta de detección de inteligencia se ejecuta en el campo de entrenamiento en una herramienta de detección Intel Q32017 MacBook Pro: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Malas noticias chicos

Puedo confirmar, con información directamente de mi Apple Store local, que los Intel Macs realmente se envían con el hardware Intel ME, y que Apple no modifica ningún hardware Intel. Aunque en este momento no puedo confirmar ni negar que las Mac ejecuten el firmware Intel o no para mí, las otras respuestas a esta pregunta parecen sugerir que sí ejecutan el firmware Intel.

Me atrevo a decir que las máquinas Apple son todas vulnerables y se ven afectadas de una manera mucho más dramática que otras máquinas que ya tienen parches disponibles para descargar en el momento de esta publicación. La razón es que muchos Mac parecen tener un firmware de Intel desactualizado, suponiendo que lo tengan y los scripts de Python que otras personas están usando para verificar que la versión de su firmware no sea errónea, o aluden al firmware personalizado de Apple para el hardware ME. presente en la máquina. Klanomath, su máquina parece estar bastante jodida con una versión antigua como 9.5.3 del firmware ME. Ese firmware 11.6.5 en otra máquina también es claramente vulnerable, según la auditoría de inteligencia, como se ve aquí:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Necesita actualizar a 11.8.0 o superior. En particular, este truco es muy problemático porque "permite que [s] [un] atacante con acceso local al sistema ejecute código arbitrario. Múltiples escaladas de privilegios ... permiten que un proceso no autorizado acceda a contenido privilegiado a través de un vector no especificado ... permitir al atacante con acceso local al sistema ejecutar código arbitrario con privilegio de ejecución AMT ... permite al atacante con acceso de administrador remoto al sistema ejecutar código arbitrario con privilegio de ejecución AMT " .

"Ejecute código arbitrario, escalamiento de privilegios, acceso remoto al sistema y ejecute código arbitrario". ¡Esto es una locura! Especialmente porque Intel ME permite el acceso remoto incluso cuando un sistema está apagado, aunque eso podría ser solo con el software AMT, que aparentemente Apple no tiene.

Extracto de INTEL-SA-00086: "El atacante obtiene acceso físico actualizando manualmente la plataforma con una imagen de firmware maliciosa a través del programador flash conectado físicamente a la memoria flash de la plataforma".

A menos que su producto Apple esté funcionando en un laboratorio público donde las personas nefastas puedan obtener acceso físico al dispositivo, probablemente no tenga mucho de qué preocuparse. El aviso de seguridad no lo menciona, pero leí en otro lugar en un foro de PC / Windows que el ataque llega al firmware Descriptor Flash a través de un puerto USB (unidad flash). Ya existe la tecnología flash USB para secuestrar una computadora Apple usando un kernel Linux limitado en una unidad flash. Para la mayoría de las personas, esto no será un gran problema.