Motor de administración Intel: ¿es vulnerable macOS?

23

Según, por ejemplo, los informes de Wired, estas son malas noticias importantes. Actualización crítica de firmware de Intel® Management Engine (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

¿Es vulnerable el hardware de Apple / macOS?

Matthew Elvey
fuente
3
Para evitar más confusión: hubo otro error relacionado con IME en mayo, INTEL-SA-00075 , que no pareció afectar los productos de Apple. Varias de las respuestas que han aparecido a esta pregunta han hecho referencia erróneamente a información sobre la vulnerabilidad anterior. Sin embargo, esta pregunta es sobre una vulnerabilidad reportada más recientemente, INTEL-SA-00086 .
Nat

Respuestas:

10

Primero: no es macOS lo que es vulnerable en primer lugar, pero el firmware y el hardware relacionado se ven afectados. Sin embargo, en un segundo paso, su sistema puede ser atacado.

Solo algunos de los procesadores afectados están instalados en Mac:

  • Familia de procesadores Intel® Core ™ de 6.a y 7.a generación

Revisé algunos archivos de firmware aleatorios con la herramienta MEAnalyzer y encontré al menos algunos que contienen el código Intel Management Engine:

Esta es la MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Una entrada ME en Familia indica el código del motor de gestión.

En un EFIFirmware2015Update.pkg, 2 de 21 archivos de firmware contienen código Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

En macOS 10.13.1 update.pkg, 21 de 46 archivos de firmware contienen código de Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

Una fuente y una fuente vinculada en el mismo indican que "Intel ME está integrado en cada CPU pero, según The Register ( 0 ), la parte AMT no se ejecuta en el hardware de Apple". AMT también está relacionado con una vulnerabilidad anterior y el enlace Registrarse se refiere a esto. Entonces, el firmware puede no verse afectado por CVE-2017-5711 | 5712 porque AMT no está presente en Mac.

Pero algunas de las vulnerabilidades recientes no requieren AMT.


En mi opinión, no está claro si las Mac se ven afectadas por la vulnerabilidad Intel Q3'17 ME 11.x, probablemente solo Apple puede decirlo. ¡Al menos las Mac no se ven afectadas por los errores de SPS 4.0 y TXE 3.0!

klanomath
fuente
@Nat Tienes razón: obviamente me perdí la primera media oración ...
klanomath
Lea la respuesta de @ vykor y los enlaces a los que apunta.
Gilby
2
@Gilby Como mencioné en mi publicación, dos de las vulnerabilidades no dependen de AMT: ¡CVE-2017-5705 | 5708!
klanomath
6

Captura de pantalla si la herramienta de detección de inteligencia se ejecuta en el campo de entrenamiento en una herramienta de detección Intel Q32017 MacBook Pro: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Malas noticias chicos

Captura de pantalla si la herramienta de detección de inteligencia se ejecuta en boot camp en una MacBook Pro Q32017

pacertracer
fuente
Esta nueva respuesta parece bastante convincente: evidencia relativamente simple y directa de que la respuesta es sí.
Matthew Elvey
Realmente deseo que un espíritu afín haga esto para el Macbook Pro 2015.
Nostalg.io
4

Puedo confirmar, con información directamente de mi Apple Store local, que los Intel Macs realmente se envían con el hardware Intel ME, y que Apple no modifica ningún hardware Intel. Aunque en este momento no puedo confirmar ni negar que las Mac ejecuten el firmware Intel o no para mí, las otras respuestas a esta pregunta parecen sugerir que sí ejecutan el firmware Intel.

Me atrevo a decir que las máquinas Apple son todas vulnerables y se ven afectadas de una manera mucho más dramática que otras máquinas que ya tienen parches disponibles para descargar en el momento de esta publicación. La razón es que muchos Mac parecen tener un firmware de Intel desactualizado, suponiendo que lo tengan y los scripts de Python que otras personas están usando para verificar que la versión de su firmware no sea errónea, o aluden al firmware personalizado de Apple para el hardware ME. presente en la máquina. Klanomath, su máquina parece estar bastante jodida con una versión antigua como 9.5.3 del firmware ME. Ese firmware 11.6.5 en otra máquina también es claramente vulnerable, según la auditoría de inteligencia, como se ve aquí:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Necesita actualizar a 11.8.0 o superior. En particular, este truco es muy problemático porque "permite que [s] [un] atacante con acceso local al sistema ejecute código arbitrario. Múltiples escaladas de privilegios ... permiten que un proceso no autorizado acceda a contenido privilegiado a través de un vector no especificado ... permitir al atacante con acceso local al sistema ejecutar código arbitrario con privilegio de ejecución AMT ... permite al atacante con acceso de administrador remoto al sistema ejecutar código arbitrario con privilegio de ejecución AMT " .

"Ejecute código arbitrario, escalamiento de privilegios, acceso remoto al sistema y ejecute código arbitrario". ¡Esto es una locura! Especialmente porque Intel ME permite el acceso remoto incluso cuando un sistema está apagado, aunque eso podría ser solo con el software AMT, que aparentemente Apple no tiene.

Robert Wilson
fuente
El firmware (IM144_0179_B12_LOCKED.scap) mencionado en el comentario a la respuesta de jksoegaard no es el firmware de mi máquina, sino el de un iMac "Core i5" 1.4 de 21.5 pulgadas (mediados de 2014) que extraje de Mac EFI Security Update 2015-002 ; - ) Creo que el firmware de mi iMac es más antiguo.
klanomath
0

Extracto de INTEL-SA-00086: "El atacante obtiene acceso físico actualizando manualmente la plataforma con una imagen de firmware maliciosa a través del programador flash conectado físicamente a la memoria flash de la plataforma".

A menos que su producto Apple esté funcionando en un laboratorio público donde las personas nefastas puedan obtener acceso físico al dispositivo, probablemente no tenga mucho de qué preocuparse. El aviso de seguridad no lo menciona, pero leí en otro lugar en un foro de PC / Windows que el ataque llega al firmware Descriptor Flash a través de un puerto USB (unidad flash). Ya existe la tecnología flash USB para secuestrar una computadora Apple usando un kernel Linux limitado en una unidad flash. Para la mayoría de las personas, esto no será un gran problema.

Craig
fuente
2
Si bien es cierto para esto, hay otras cosas de ME que potencialmente podrían funcionar de forma remota. Tenga en cuenta que las actualizaciones de firmware en macOS no requieren acceso físico, ya que todo se inicializa desde el nivel del sistema operativo; si se pudiera inyectar una actualización maliciosa (actualmente no es posible AFAIK, pero es posible que haya algún problema en el futuro en este sentido), entonces, si Macs usara una versión del ME que fuera vulnerable, esto sería muy problemático.
JMY1000