英特尔管理引擎-macOS容易受到攻击吗?

23

例如,基于“有线”报告,这是主要的坏消息。英特尔®管理引擎关键固件更新(Intel SA-00086)-www.intel.com https://www.intel.com/content/www/us/en/support/articles/000025619/software.html

苹果硬件/ macOS容易受到攻击吗?

macos  mac  security  processor 
马修·艾维(Matthew Elvey)
source
3
为了避免进一步的混乱:早在5月,还有另一个与IME相关的错误,即INTEL-SA-00075,它似乎并未影响Apple产品。针对此问题出现的一些答案都错误地引用了有关较早版本漏洞的信息。但是,此问题询问的是最近报告的漏洞INTEL-SA-00086
纳特

Answers:

10

首先:首先不是macOS本身容易受到攻击,但固件和相关硬件受到影响。第二步,您的系统可能会受到攻击。

Mac中仅安装了一些受影响的处理器

  • 第六代和第七代英特尔®酷睿™处理器家族

我使用工具MEAnalyzer检查了一些随机固件文件并发现至少一些包含英特尔管理引擎代码的文件:

这是MacBook Pro Retina Mid 2017:

File:     MBP143_0167_B00.fd (3/3)

Family:   CSE ME
Version:  11.6.14.1241
Release:  Production
Type:     Region, Extracted
SKU:      Slim H
Rev:      D0
SVN:      1
VCN:      173
LBG:      No
PV:       Yes
Date:     2017-03-08
FIT Ver:  11.6.14.1241
FIT SKU:  PCH-H No Emulation SKL
Size:     0x124000
Platform: SPT/KBP
Latest:   Yes

家庭中的ME条目表示管理引擎代码。

EFIFirmware2015Update.pkg中,21个固件文件中的2个包含Intel Management Engine代码,这些代码可能会受到CVE-2017-5705 | 5708 | 5711 | 5712的影响。

macOS 10.13.1 update.pkg中,46个固件文件中的21个包含可能受CVE-2017-5705 | 5708 | 5711 | 5712影响的Intel管理引擎代码。

其中一个消息源和一个链接消息源指出:“每个CPU都装有Intel ME,但是根据寄存器(0),AMT部分不在Apple硬件上运行。” AMT也与较旧的漏洞有关,“注册”链接与此相关。然后该固件可能不受CVE-2017-5711 | 5712的影响,因为Mac上不存在AMT。

但是最近的一些漏洞不需要AMT。

在我看来,目前尚不清楚Mac是否受英特尔Q3'17 ME 11.x漏洞的影响-可能只有苹果才能知道。至少Mac不受SPS 4.0和TXE 3.0错误的影响!

黑素瘤
source
@Nat你是对的:很明显我错过了上半句……
klanomath
请阅读@vykor的答案及其指向的链接。
Gilby
2
@Gilby如我的帖子所述,其中两个漏洞依赖AMT:CVE-2017-5705 | 5708!
klanomath
4

我可以直接从我本地的Apple Store获得信息,以确认Intel Macs确实随附Intel ME硬件,并且Apple不修改任何Intel硬件。尽管在这一点上我无法确认或否认Mac是否为我运行Intel固件,但该问题的其他答案似乎表明它们确实在运行Intel固件。

我敢说Apple机器都容易受到攻击,并且受到的影响比发布本文时已下载补丁的其他机器受到的影响要大得多。原因是,许多Mac似乎已经过时了Intel固件,假设它们已经过时,而其他人用来检查其固件版本的python脚本并没有错误,或者暗示了针对ME硬件的Apple定制固件。存在于机器中。克拉诺玛斯(Klanomath),您的计算机似乎已经被9.5.3版本的ME固件所困扰。根据intel审核,显然另一台计算机上的11.6.5固件也很容易受到攻击,如下所示:

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00086&languageid=zh-CN

您需要更新到11.8.0或更高版本。特别是,该黑客是如此麻烦,因为它“让[S] [一]攻击者与本地访问系统执行任意代码。多重特权上报......让非法进程访问优惠内容借助未明向量。 ...允许具有本地访问权限的攻击者可以使用AMT执行特权执行任意代码。...允许具有远程Admin访问权限的攻击者可以使用AMT执行特权来访问系统以执行任意代码。

“执行任意代码,特权升级,对系统的远程访问并执行任意代码。” 疯了吧! 尤其是因为Intel ME即使系统关闭也允许进行远程访问,尽管这可能仅适用于AMT软件,而Apple显然没有。

罗伯特·威尔逊
source
jksoegaard的答案评论中提到的固件(IM144_0179_B12_LOCKED.scap)不是本机的固件,而是我从Mac EFI安全更新2015-002中提取的iMac“ Core i5” 1.4 21.5英寸(2014年中)中的一个;- )。我认为我的iMac的固件较旧。
klanomath
0

摘自INTEL-SA-00086:“攻击者通过物理连接到平台闪存的闪存编程器手动更新带有恶意固件映像的平台,从而获得了物理访问权限。”

除非您的Apple产品在公共实验室中运行,否则邪恶的人可能会实际访问该设备,那么您可能不必担心太多。安全公告没有提及它,但是我在PC / Windows论坛的其他地方读到,攻击是通过USB端口(闪存驱动器)对Flash Descriptor固件进行的。已经存在USB闪存技术,可以使用闪存驱动器上的受限Linux内核劫持Apple计算机。对于大多数人来说,这并不是什么大问题。

克雷格
source
2
尽管确实如此,但还有一些其他ME东西可能可以远程工作。请注意,由于macOS上固件更新都是从OS级别初始化的,因此不需要进行物理访问。如果可以注入恶意更新(当前不可能使用AFAIK,但似乎未来可能会出现这些问题),那么-如果Mac使用的是易受攻击的ME版本,那么这将是非常成问题的。
JMY1000
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.