เอ็นจิ้นการจัดการของ Intel - MacOS มีความเสี่ยงหรือไม่


23

ยกตัวอย่างเช่นจากการรายงานแบบใช้สายนี่เป็นข่าวร้ายที่สำคัญ อัพเดตเฟิร์มแวร์สำหรับIntel® Management Engine ที่สำคัญ (Intel SA-00086) - www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

ฮาร์ดแวร์ / macOS ของ Apple มีความเสี่ยงหรือไม่


3
เพื่อหลีกเลี่ยงความสับสนเพิ่มเติม: มีข้อผิดพลาดอื่นที่เกี่ยวข้องกับ IME ย้อนกลับไปในเดือนพฤษภาคมINTEL-SA-00075ซึ่งไม่ปรากฏว่ามีผลกระทบต่อผลิตภัณฑ์ของ Apple คำตอบหลายข้อที่ปรากฏในคำถามนี้มีข้อมูลอ้างอิงผิดพลาดเกี่ยวกับช่องโหว่ก่อนหน้านี้ แต่คำถามนี้ถามเกี่ยวกับช่องโหว่รายงานเมื่อเร็ว ๆ นี้INTEL-SA-00086
แน็ต

คำตอบ:


10

ครั้งแรก: ไม่ใช่ macOS ซึ่งมีความเสี่ยงในตอนแรก แต่เฟิร์มแวร์และฮาร์ดแวร์ที่เกี่ยวข้องได้รับผลกระทบ ในขั้นตอนที่สองระบบของคุณอาจถูกโจมตี

มีการติดตั้งโปรเซสเซอร์ที่ได้รับผลกระทบบางตัวเท่านั้นใน Macs:

  • โปรเซสเซอร์ตระกูลIntel® Core ™เจนเนอเรชั่น 6 และ 7

ฉันตรวจสอบไฟล์เฟิร์มแวร์สุ่มด้วยเครื่องมือMEAnalyzerและพบอย่างน้อยบางไฟล์ที่มีรหัส Intel Management Engine:

นี่คือ MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

รายการ ME ในตระกูลหมายถึงรหัสเครื่องมือจัดการ

ในไฟล์เฟิร์มแวร์EFIFirmware2015Update.pkg 2 จาก 21 มีรหัส Intel Management Engine ซึ่งอาจได้รับผลกระทบจาก CVE-2017-5705 | 5708 | 5711 | 5712

ในmacos 10.13.1 update.pkg 21 จาก 46 ไฟล์เฟิร์มแวร์มีรหัส Intel Management Engine ซึ่งอาจได้รับผลกระทบจาก CVE-2017-5705 | 5708 | 5711 | 5712

แหล่งข้อมูลหนึ่งและแหล่งข้อมูลที่เชื่อมโยงในนั้นระบุว่า "Intel ME ถูกทำในทุก ๆ CPU แต่ตาม The Register ( 0 ) ส่วน AMT ไม่ได้ทำงานบนฮาร์ดแวร์ Apple" AMT ยังเกี่ยวข้องกับช่องโหว่ที่เก่ากว่าและลิงค์ Register หมายถึงสิ่งนี้ จากนั้นเฟิร์มแวร์อาจไม่ได้รับผลกระทบจาก CVE-2017-5711 | 5712 เนื่องจาก AMT ไม่มีอยู่ใน Macs

แต่ช่องโหว่ล่าสุดบางช่องไม่ต้องการ AMT


ในความคิดของฉันมันชัดเจนว่า Macs ได้รับผลกระทบจาก Intel Q3'17 ME 11.x หรือไม่ - อาจเป็นเพียง Apple เท่านั้นที่สามารถบอกได้ อย่างน้อย Macs จะไม่ได้รับผลกระทบจากข้อบกพร่อง SPS 4.0 และ TXE 3.0!


@Nat คุณกำลังขวา: เห็นได้ชัดว่าผมไปครึ่งประโยคแรก ...
klanomath

อ่านคำตอบของ @ vykor และลิงก์ที่ชี้ไป
Gilby

2
@Gilby ตามที่กล่าวไว้ในโพสต์ของฉันสองช่องโหว่ไม่พึ่งพา AMT: CVE-2017-5705 | 5708!
klanomath

6

สกรีนช็อตหากเครื่องมือตรวจจับ intel ทำงานในบูทแคมป์ในเครื่องมือตรวจจับ MacBook Pro Q32017 ของ Intel: https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

พวกข่าวร้าย

สกรีนช็อตหากเครื่องมือตรวจสอบ intel ทำงานใน boot camp บน Q32017 MacBook Pro


คำตอบล่าสุดนี้ดูเหมือนจะค่อนข้างน่าสนใจ - ค่อนข้างง่ายและตรงไปตรงมาเป็นหลักฐานว่าคำตอบคือใช่
Matthew Elvey

ฉันหวังว่าวิญญาณที่เป็นมิตรจะทำเช่นนี้กับ Macbook Pro 2015
Nostalg.io

4

ฉันสามารถยืนยันได้ด้วยข้อมูลโดยตรงจาก Apple Store ในพื้นที่ของฉันซึ่ง Intel Macs นั้นมาพร้อมกับฮาร์ดแวร์ Intel ME แน่นอนและ Apple ไม่ได้ดัดแปลงฮาร์ดแวร์ Intel ใด ๆ แม้ว่า ณ จุดนี้ฉันไม่สามารถยืนยันหรือปฏิเสธว่า mac เรียกใช้เฟิร์มแวร์ของ Intel หรือไม่สำหรับฉันคำตอบอื่น ๆ สำหรับคำถามนี้ดูเหมือนจะแนะนำว่าพวกเขาใช้งานเฟิร์มแวร์ของ Intel

ฉันกล้าพูดว่าเครื่องของ Apple นั้นมีช่องโหว่ทั้งหมดและได้รับผลกระทบในลักษณะที่น่าทึ่งกว่าเครื่องอื่น ๆ ที่มีแพตช์พร้อมให้ดาวน์โหลดในขณะที่โพสต์นี้ เหตุผลก็คือดูเหมือนว่าแม็คจำนวนมากจะมีเฟิร์มแวร์ของ Intel ที่ล้าสมัยโดยสันนิษฐานว่าพวกเขามีมันและสคริปต์ของหลามที่คนอื่นกำลังใช้เพื่อตรวจสอบเวอร์ชันของเฟิร์มแวร์ของพวกเขานั้นไม่ผิดพลาด อยู่ในเครื่อง Klanomath ดูเหมือนว่าเครื่องของคุณจะค่อนข้างเมากับเฟิร์มแวร์ ME เวอร์ชัน 9.5.3 เฟิร์มแวร์ 11.6.5 นั้นในเครื่องอื่นนั้นยังคงชัดเจนเช่นกันตามการตรวจสอบของ Intel ดังที่เห็นที่นี่:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=en-fr

คุณต้องอัปเดตเป็น 11.8.0 หรือสูงกว่า โดยเฉพาะอย่างยิ่งการแฮ็คนี้มีปัญหาเพราะมัน "อนุญาตให้ [s] [an] ผู้โจมตีที่มีการเข้าถึงระบบในท้องถิ่นเพื่อรันโค้ดโดยพลการการเพิ่มสิทธิพิเศษหลายระดับ ... อนุญาตให้กระบวนการที่ไม่ได้รับอนุญาตเข้าถึงเนื้อหาพิเศษผ่านเวกเตอร์ที่ไม่ได้กำหนด ... อนุญาตให้มีการโจมตีที่มีการเข้าถึงในท้องถิ่นเพื่อให้ระบบการรันโค้ดที่มีสิทธิ์ดำเนินการ AMT. ... ช่วยให้ผู้โจมตีที่มีการเข้าถึงการดูแลระบบระยะไกลไปยังระบบเพื่อรันโค้ดที่มีการดำเนินการ AMT สิทธิพิเศษ. "

"เรียกใช้รหัสโดยอำเภอใจเพิ่มระดับสิทธิ์เข้าถึงระบบจากระยะไกลและเรียกใช้งานรหัสโดยอำเภอใจ" นี่มันบ้ามาก! โดยเฉพาะอย่างยิ่งเนื่องจาก Intel ME อนุญาตให้เข้าถึงจากระยะไกลแม้ว่าระบบจะปิดอยู่แม้ว่าอาจมีเฉพาะกับซอฟต์แวร์ AMT เท่านั้นซึ่งเห็นได้ชัดว่า Apple ไม่มี


เฟิร์มแวร์ (IM144_0179_B12_LOCKED.scap) ที่กล่าวถึงในความคิดเห็นต่อคำตอบของ jksoegaard ไม่ใช่เฟิร์มแวร์ของเครื่อง แต่เป็นหนึ่งใน iMac "Core i5" 1.4 21.5 นิ้ว (กลางปี ​​2014) ฉันแยกจากMac EFI Security Update 2015-002 ; ) ฉันคิดว่าเฟิร์มแวร์ของ iMac ของฉันเก่ากว่า
klanomath

0

ส่วนที่ตัดตอนมาจาก INTEL-SA-00086: "ผู้โจมตีสามารถเข้าถึงทางกายภาพได้ด้วยการอัพเดทแพลตฟอร์มด้วยอิมเมจที่เป็นอันตรายผ่านทางโปรแกรมเมอร์แฟลชที่เชื่อมต่อทางกายภาพกับหน่วยความจำแฟลชของแพลตฟอร์ม"

ยกเว้นว่าผลิตภัณฑ์ Apple ของคุณกำลังทำงานในห้องแล็บสาธารณะที่ซึ่งผู้คนที่ชั่วร้ายอาจเข้าใช้อุปกรณ์ได้คุณอาจไม่ต้องกังวลมากนัก คำแนะนำด้านความปลอดภัยไม่ได้กล่าวถึง แต่ฉันอ่านที่อื่นในฟอรัม PC / Windows การโจมตีมาถึงเฟิร์มแวร์ Flash Descriptor ผ่านพอร์ต USB (แฟลชไดรฟ์) มีเทคโนโลยีแฟลช USB ในการจี้คอมพิวเตอร์ Apple โดยใช้เคอร์เนล Linux ที่มีอยู่อย่าง จำกัด ในแฟลชไดรฟ์ สำหรับคนส่วนใหญ่สิ่งนี้จะไม่เป็นปัญหามากนัก


2
ในขณะที่เป็นจริงสำหรับเรื่องนี้มีสิ่ง ME อื่น ๆ ที่อาจทำงานได้จากระยะไกล โปรดทราบว่าการอัปเดตเฟิร์มแวร์ใน macOS ไม่ต้องการการเข้าถึงทางกายภาพเนื่องจากทั้งหมดถูกเตรียมใช้งานจากและระดับ OS หากการอัปเดตที่เป็นอันตรายอาจถูกฉีดยา (ปัจจุบันไม่สามารถเป็น AFAIK ได้ แต่น่าเป็นไปได้ว่าปัญหาบางอย่างในอนาคตจะอยู่ตามเส้นเหล่านี้) ดังนั้นหาก Macs ใช้ ME เวอร์ชันที่มีช่องโหว่แล้วนี่จะเป็นปัญหามาก
JMY1000
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.