Motor de administración de Intel: ¿es macOS vulnerable?

Navega tus respuestas
21

Según, por ejemplo, los informes de Wired, esta es una mala noticia importante. Actualización del firmware crítico de Intel® Management Engine (Intel SA-00086) - www.intel.com enlace

¿El hardware / macOS de Apple es vulnerable?

    
pregunta Matthew Elvey 26.11.2017 - 22:37

4 respuestas

9

Primero: no es macOS en sí lo que es vulnerable en primer lugar, pero el firmware y el hardware relacionado se ven afectados. Sin embargo, en un segundo paso, su sistema puede ser atacado.

Solo algunos de los procesadores impactados son instalado en Macs:

  • Familia de procesadores Intel® Core ™ de sexta y séptima generación

Revisé algunos archivos de firmware al azar con la herramienta MEAnalyzer y encontró al menos algunos que contenían el código Intel Management Engine:

Este es el MacBook Pro Retina mediados de 2017: 

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

Una entrada ME en Familia denota el código de Management Engine.

En un EFIFirmware2015Update.pkg , 2 de los 21 archivos de firmware contienen el código de Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

En macOS 10.13.1 update.pkg , 21 de los 46 archivos de firmware contienen el código de Intel Management Engine que puede verse afectado por CVE-2017-5705 | 5708 | 5711 | 5712.

Una fuente y una fuente vinculada en el mismo indican que "Intel ME está integrado en cada CPU, pero de acuerdo con The Registre ( 0 ) que la parte AMT no se está ejecutando en el hardware de Apple ". AMT también está relacionado con una anterior y la vulnerabilidad El enlace de registro se refiere a esto. Entonces, el firmware puede no verse afectado por CVE-2017-5711 | 5712 porque AMT no está presente en Mac.

Pero algunas de las vulnerabilidades recientes no requieren AMT.

En mi opinión, no está claro si las Macs están afectadas por la vulnerabilidad de Intel Q3’17 ME 11.x, probablemente solo Apple lo sepa. ¡Al menos las Mac no se ven afectadas por los errores de SPS 4.0 y TXE 3.0!

    
respondido por el klanomath 27.11.2017 - 02:54
6

Captura de pantalla si la herramienta de detección de Intel se ejecuta en el campo de entrenamiento de una MacBook Pro Q32017  Herramienta de detección de Intel: enlace

Chicos de malas noticias

    
respondido por el pacertracer 12.12.2017 - 06:34
4

Puedo confirmar, con información directamente de mi tienda Apple Store local, que las Mac Intel realmente se envían con el hardware Intel ME y que Apple no modifica ningún hardware Intel. Aunque en este momento no puedo confirmar ni negar que las Mac ejecuten el firmware Intel o no para mí, las otras respuestas a esta pregunta parecen sugerir que sí ejecutan el firmware Intel.

Me atrevo a decir que las máquinas Apple son todas vulnerables y se ven afectadas de una manera mucho más dramática que otras máquinas que ya tienen parches disponibles para descargar en el momento de esta publicación. La razón es que muchos macs parecen haber caducado el firmware de Intel, asumiendo que lo tienen y los scripts de Python que otras personas están usando para comprobar que la versión de su firmware no es errónea, o aluden a un firmware personalizado escrito por Apple para el hardware ME. Presente en la máquina. Klanomath, su máquina parece estar bastante atornillada con una versión anterior del firmware ME 9.5.3. Ese firmware 11.6.5 en otra máquina también es claramente vulnerable, según la auditoría de inteligencia, como se ve aquí:

enlace

Debes actualizar a 11.8.0 o superior. En particular, este truco es muy preocupante porque "permite [a] [un] atacante con acceso local al sistema para ejecutar código arbitrario. múltiples escaladas de privilegios ... permiten que procesos no autorizados accedan a contenido privilegiado a través de un vector no especificado. ... permite al atacante con acceso local al sistema ejecutar código arbitrario con privilegio de ejecución AMT. ... permite al atacante con acceso de administrador remoto al sistema para ejecutar código arbitrario con privilegio de ejecución AMT. "

"Ejecute código arbitrario, escalada de privilegios, acceso remoto al sistema y código arbitrario". ¡Esto es una locura! Especialmente porque Intel ME permite el acceso remoto incluso cuando un sistema está apagado, aunque eso podría ser solo con el software AMT, que aparentemente no tiene Apple.

    
respondido por el Robert Wilson 27.11.2017 - 04:25
0

Extracto de INTEL-SA-00086: "El atacante obtiene acceso físico al actualizar manualmente la plataforma con una imagen de firmware malintencionada a través de un programador flash físicamente conectado a la memoria flash de la plataforma".

A menos que su producto Apple esté funcionando en un laboratorio público donde personas infames puedan obtener acceso físico al dispositivo, probablemente no tenga mucho de qué preocuparse. El aviso de seguridad no lo menciona, pero leí en otro lugar en un foro de PC / Windows que el ataque se produce en el firmware del Descriptor de Flash a través de un puerto USB (unidad flash). Ya existe la tecnología USB-flash para secuestrar una computadora Apple usando un kernel de Linux limitado en una unidad flash. Para la mayoría de las personas esto no será un gran problema.

    
respondido por el Craig 04.01.2018 - 04:07

Lea otras preguntas en las etiquetas

Exportar MOV a MP4 con Quicktime en Yosemite Reasignando atajos de teclado en Chrome y Firefox