Mesin manajemen Intel - apakah MacOS rentan?

Berdasarkan, misalnya, pelaporan Wired, ini adalah berita buruk utama. Intel® Management Engine, Pembaruan Firmware Penting (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Apakah perangkat keras / macOS Apple rentan?

Pertama: itu bukan macOS itu sendiri yang rentan di tempat pertama tetapi firmware dan perangkat keras terkait terpengaruh. Pada langkah kedua sistem Anda mungkin diserang.

Hanya beberapa prosesor yang terpengaruh yang dipasang di Mac:

• Keluarga Prosesor Intel® Core ™ generasi ke-6 dan ke-7

Saya memeriksa beberapa file firmware acak dengan alat MEAnalyzer dan menemukan setidaknya beberapa yang berisi kode Mesin Manajemen Intel:

Ini adalah MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Entri ME di Keluarga menunjukkan kode Mesin Manajemen.

Dalam EFIFirmware2015Update.pkg 2 dari 21 file firmware berisi kode Intel Management Engine yang mungkin terpengaruh oleh CVE-2017-5705 | 5708 | 5711 | 5712.

Dalam macOS 10.13.1 pembaruan.pkg 21 dari 46 file firmware berisi kode Mesin Manajemen Intel yang mungkin terpengaruh oleh CVE-2017-5705 | 5708 | 5711 | 5712.

Satu sumber dan sumber tertaut di dalamnya menyatakan bahwa "Intel ME dipanggang di setiap CPU tetapi menurut The Register ( 0 ) bagian AMT tidak berjalan pada perangkat keras Apple." AMT juga terkait dengan kerentanan yang lebih lama dan tautan Register merujuk pada ini. Maka firmware mungkin tidak terpengaruh oleh CVE-2017-5711 | 5712 karena AMT tidak ada pada Mac.

Tetapi beberapa kerentanan terbaru tidak membutuhkan AMT.

Menurut pendapat saya tidak jelas apakah Mac dipengaruhi oleh kerentanan Intel Q3'17 ME 11.x - mungkin hanya Apple yang tahu. Setidaknya Mac tidak terpengaruh oleh bug SPS 4.0 dan TXE 3.0!

Tangkapan layar jika alat deteksi intel dijalankan di boot camp pada Q32017 MacBook Pro Alat deteksi Intel: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

Berita buruk kawan

Saya dapat mengonfirmasi, dengan info langsung dari Apple Store lokal saya, bahwa Intel Macs memang dikirimkan bersama perangkat keras Intel ME, dan bahwa Apple tidak memodifikasi perangkat keras Intel apa pun. Meskipun pada titik ini saya tidak dapat mengkonfirmasi atau menyangkal bahwa mac menjalankan firmware Intel atau tidak untuk ME, jawaban lain untuk pertanyaan ini tampaknya menunjukkan bahwa mereka menjalankan firmware Intel.

Saya berani mengatakan bahwa mesin Apple semuanya rentan, dan terpengaruh dalam cara yang jauh lebih dramatis daripada mesin lain yang sudah memiliki tambalan yang tersedia untuk diunduh pada saat posting ini. Alasannya adalah bahwa banyak banyak mac yang sepertinya sudah ketinggalan zaman Intel firmware, dengan asumsi mereka memilikinya dan skrip python yang digunakan orang lain untuk memeriksa versi firmware mereka tidak salah, atau menyinggung custom firmware yang ditulis Apple untuk perangkat keras ME yang hadir di mesin. Klanomath, mesin Anda tampaknya cukup kacau dengan versi 9.5.3 firmware ME. 11.6.5 firmware pada komputer lain itu juga jelas tidak dapat diperbaiki, sesuai dengan audit intel, seperti yang terlihat di sini:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

Anda perlu memperbarui ke 11.8.0 atau lebih tinggi. Secara khusus, peretasan ini sangat meresahkan karena "memungkinkan [seorang] penyerang dengan akses lokal ke sistem untuk mengeksekusi kode arbitrer. Beberapa peningkatan hak istimewa ... memungkinkan proses yang tidak sah untuk mengakses konten istimewa melalui vektor yang tidak ditentukan. ... izinkan penyerang dengan akses lokal ke sistem untuk mengeksekusi kode arbitrer dengan hak istimewa eksekusi AMT ... ... memungkinkan penyerang dengan akses Admin jarak jauh ke sistem untuk mengeksekusi kode arbitrer dengan hak eksekusi eksekusi AMT. "

"Jalankan kode arbitrer, eskalasi hak istimewa, akses jarak jauh ke sistem dan jalankan kode arbitrer." Ini gila! Terutama karena Intel ME memungkinkan akses jarak jauh bahkan ketika sistem dimatikan, meskipun itu mungkin hanya dengan perangkat lunak AMT, yang tampaknya tidak dimiliki Apple.

Kutipan dari INTEL-SA-00086: "Penyerang memperoleh akses fisik dengan memperbarui secara manual platform dengan gambar firmware berbahaya melalui pemrogram flash yang terhubung secara fisik ke memori flash platform."

Kecuali jika produk Apple Anda beroperasi di lab umum di mana orang jahat dapat memperoleh akses fisik ke perangkat, Anda mungkin tidak perlu terlalu khawatir. Penasihat keamanan tidak menyebutkannya, tetapi saya membaca di tempat lain di forum PC / Windows serangannya datang ke firmware Flash Descriptor melalui port USB (flash drive). Sudah ada teknologi USB-flash untuk membajak komputer Apple menggunakan kernel Linux terbatas pada flash drive. Bagi kebanyakan orang ini tidak akan menjadi masalah besar.